cherche anti hack contre les injections JS

KOogar · 3 Octobre 2009

hi,

j'en avait 1 d'anti hack mais je ne le retrouve plus. Quelqu'un aurait un code sous le main, ou 1 lien vers un code ?

le hack:

Code:

&lt;p&gt;&amp;lt;body onload=&amp;quot;alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');alert('Exploated By Annonymous!!');&amp;quot;&amp;gt;Tres bien votre site! par contre les failles ca y va ^^ ...&amp;lt;br /&amp;gt;&lt;/p&gt;

spout · 3 Octobre 2009

http://www.php.net/manual/fr/function.strip-tags.php
http://htmlpurifier.org/

KOogar · 3 Octobre 2009

merci pour le strip_tags mais j'aimerai avaoir le gateau et pas la recette

tu as testé htmlpurifier? j'ai rien vue concernant le JS sur le site

Acerouk · 3 Octobre 2009

Si ca passe bien par des post et get :
http://www.aurelien-morillon.com/coindetable/index.php/2008/11/13/25-s ... et-request

aladdin · 3 Octobre 2009

t'as safehtml http://www.sitepoint.com/blogs/2006/02/17/safehtml-cleaning-form-input/ si tu veux.

mais tu peux aussi utiliser une simple regex pour filtrer le javascript que tu aimes pas ...

en général, quand tu autorise tes visiteurs de poster de l'html il ne faut pas tout autoriser et ensuite filtrer mais plutot le contraire ! Interdir tout sauf quelques balises

spout · 3 Octobre 2009

Désolé, je viens de tester la démo en ligne de HTML Purifier, et je vois rien concernant le JS non plus. J'avais en souvenir que ça le permettait.

KOogar · 5 Octobre 2009

merci merci, j'ai mis la main a la patte car sur le net je n'ai rien de rien trouvé, un peu comme vous :cry: et de mon coté j'en ai sérieusement besoin

je vous donnes brut mon regex + les tests

j'ai principalement gérer 4 cas possible
<script>
< script>
<script type="text/javascript">
< script type="text/javascript">

le regex :
<[\n\r\s]*script[^>]*[\n\r\s]*(type\s?=\s?"text/javascript")*>.*?<[\n\r\s]*/script[^>]*>

les tests:

Code:

$text1 = " <html> xxx <script><!--body onload=&amp;quot;alert('');--></script> xxx </html> ";
$text2 = " <html> xxx < script><!--body onload=&amp;quot;alert('');--></script> xxx </html> ";
$text3 = ' <html> xxx <script type="text/javascript"><!--body onload=&amp;quot;alert();--></script> xxx </html> ';

$texte = preg_replace('#<[\n\r\s]*script[^>]*[\n\r\s]*(type\s?=\s?"text/javascript")*>.*?<[\n\r\s]*/script[^>]*>#ie','gg',$text3);
echo $texte;

le resultats pour les 3 tests est le meme
<html> xxx gg xxx </html>

ca devrait stopper net le hack JS