Как проверить форму для отправки сообщений с сайта на XSS инъекции?

Question

Kirito Kirigaya @ae_ph

Как проверить форму для отправки сообщений с сайта на XSS инъекции?

У меня есть форма для отправки сообщений с сайта мне на эмейл.
Написать сообщение и отправить может любой пользователь.
В форме идёт отправка через php

<form enctype="multipart/form-data" method="post" id="form" action="send.php">

После отправки - нажатия кнопки, перекидывает на новую страницу, на которой написано спасибо.

Если в форму вставлять <script>alert('aa');</script> или <script>alert(document.cookie)</script> она всё это дело тупо отправит мне на почту (правда поля будут пустыми в пришедшем сообщении).

Я не знаю как в ней попробовать выполнить подобный вывод на экран JS кода, она-же сразу всё отправляет по нажатию.

Вопрос задан более трёх лет назад
188 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

8 комментариев

Kirito Kirigaya @ae_ph Автор вопроса

Эмм и как мне это использовать?
Ты-бы хоть написал примеры и описание к этому

Написано более трёх лет назад
Adamos @Adamos

Brendan Castaneda, тебе присылают текст с тегами, ты пересылаешь его, не меняя. После этой функции тегов в тексте больше не будет.

Написано более трёх лет назад
Kirito Kirigaya @ae_ph Автор вопроса

Adamos, Либо я туплю, либо ты не понял.
У меня есть сайт, там есть форма для отправки сообщений мне email

Если я впишу в эту форму XSS инъекцию <script>alert('aa');</script> и отправлю её, мне на email прилетит сообщение, но в месте где я вписал XSS инъекцию будет пусто. Только нормальный текст прилетает.

Суть в том, что я подключаю библиотеку для защиты от XSS инъекций.. И хочу её настроить.
Но вся моя проблема состоит в том, что я не могу произвести эту самую XSS инъекцию на эту форму.
Я хочу посмотреть правильно работает подключенная библиотека или нет.

p.s. Я в php ноль.. Мой стек это frontend. И библиотека та самая она не для серверной части она проверяет на стороне клиента.

Написано более трёх лет назад
Adamos @Adamos

Brendan Castaneda, если ты считаешь, что от XSS можно защититься на стороне клиента, боюсь, ты и во фронтенде... не эксперт.

Написано более трёх лет назад
Kirito Kirigaya @ae_ph Автор вопроса

Adamos, Можно сделать экранирование input'ов в JS от символов типа <"&'>, хотя-бы это.

Написано более трёх лет назад
Adamos @Adamos

Brendan Castaneda, это классическая ошибка: вы считаете, что есть опасные символы, которые надо экранировать, вместо определения места, где нужно предупреждать конкретные уязвимости. В результате у вас потом где-нибудь будет двоиться апостроф или вылезать html-код с дважды обезвреженным амперсендом.

Написано более трёх лет назад
Kirito Kirigaya @ae_ph Автор вопроса

Adamos, "вместо определения места, где нужно предупреждать конкретные уязвимости" можно более подробно? Например что за места и как предупреждать?

Двоится не должно как код не должен вылезать.
Я написал в JS так: написанный текст при нажатии на кнопку отправить экранируется и вставляется обратно в форму. В html этого не видно только если подключить консольный вывод.

Написано более трёх лет назад
Adamos @Adamos

Brendan Castaneda, то, что вы делаете на стороне клиента, не имеет к борьбе с уязвимостями никакого отношения.
Бот, который зашлет вам эксплойт, даже не знает, что такое браузер.

Написано более трёх лет назад