Возможно ли выполнение вредоносного скрипта?

Question

Антон @boypush

Geek

Возможно ли выполнение вредоносного скрипта?

У меня вопрос, например если у меня на сайте пользователь присылает отзыв, в базе он прописывается в Base64, в админке он декодируется для просмотра и одобрения/неодобрения, скажите возможно ли таким образом выполнить под видом отзыва вредоносный код или шелл? Обнаружил признаки взлома, попробовал самостоятельно прислать простейший alert так вот окошко упало, получается выполнение скриптов возможно. Помогите как от этого защититься? Кстати вот что нашел после декодировки одного из отзывов:

Вопрос задан более трёх лет назад
646 просмотров

Комментировать

Подписаться 2 Оценить Комментировать

Решения вопроса 1

13 комментариев

Антон @boypush Автор вопроса

Незнаю, самописная cms, автор не я, пробовал убрать base64, скрипт не выполняется, но отправляются только английские символы, русские не распознает, возвращает пустое поле

Написано более трёх лет назад
entermix @entermix

Антон: тогда делайте вывод при помощи htmlspecialchars и будет Вам счастье)

Написано более трёх лет назад
Антон @boypush Автор вопроса

entermix:

Странно в коде изначально стоит htmlspecialchars
//<?=base64_decode(sf(htmlspecialchars(strip_tags($otz["text"])))); ?>//

Написано более трёх лет назад
Антон @boypush Автор вопроса

а как его сфильтровать

Написано более трёх лет назад
Adamos @Adamos

Есть подозрение, что убрав base64, вы еще и SQL injection позволите.
Если приходящие данные никак больше не чистятся.

Написано более трёх лет назад
Антон @boypush Автор вопроса

Adamos: как сделать чтобы просто тег

Написано более трёх лет назад
Антон @boypush Автор вопроса

Adamos: как сделать чтобы просто тег script расозновался как текст а не как тег?

Написано более трёх лет назад
Adamos @Adamos

Антон: у вас просто не в том порядке применяются функции. Вы применяете htmlspecialchars на кодированный base64 текст, это бессмысленно. А потом раскодируете его со всеми его тегами. Обработку нужно делать до кодирования, сразу при получении текста от пользователя.

Написано более трёх лет назад
Антон @boypush Автор вопроса

Adamos: А вот это уже интересно, сейчас посмотрю момент отправки

Написано более трёх лет назад
entermix @entermix

Антон: Adamos правильно написал, сначала нужно сделать base64_decode, а потом уже фильтровать, обновил ответ, только там в Вашем примере еще есть функция sf(), я исключил ее, так как не знаю для чего предназначена :)

Написано более трёх лет назад
Антон @boypush Автор вопроса

Adamos: Вы оказались правы, видимо действительно ошибка была изначально, поставил stip tags на пост запрос и вуаля тегов как не бывало, спасибо большое!) Я думаю это решение моей проблемы, но рано еще радоваться)

Написано более трёх лет назад
Adamos @Adamos

Антон: еще раз напомню: убедитесь, что перед записью в БД этот текст проходит через real_escape_string, и вы, убирая ненужный base64 (а он здесь совершенно незачем, если с кодировками все в порядке), не создаете новую уязвимость.

Написано более трёх лет назад
Антон @boypush Автор вопроса

Adamos: Спасибо, буду заниматься этим) Вы направили мои мысли в нужном направлении)))

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

6 комментариев

Антон @boypush Автор вопроса

У меня сейчас вот так стоит:
//<?=base64_decode(sf(htmlspecialchars(strip_tags($otz["text"])))); ?>//
все равно выполняется, как исправить

Написано более трёх лет назад
Алексей Ярков @yarkov Куратор тега JavaScript

Антон: а что значат слеши в вашей строке кода? Они у вас так и прописаны, или это вы так выделяете строку?

Написано более трёх лет назад
Антон @boypush Автор вопроса

Алексей Ярков: естественно я так делаю))) на некоторых сайтах пхп скрипты или теги нельзя писать)) тут помоему тоже нельзя

Написано более трёх лет назад
Алексей Ярков @yarkov Куратор тега JavaScript
Антон:
<?php echo "Да ладно )))"; ?>
Написано более трёх лет назад
Антон @boypush Автор вопроса

Алексей Ярков: DDDDDDDDDDDDDDDDD

Написано более трёх лет назад
Денис Гончаренко @denis79513

Антон: так вы подумайте что делаете то, вы понимаете в каком порядке функции вызываются? Начиная от внутренней, первая выполняется, а последняя base64_decode. Естественно этот код ничего не отфильтрует. Он пытается удалить теги из еще нерасшифрованного текста, ничего не удаляет и потом расшифровывает. Расшифровка должна выполняться первым делом а потом уже очистка расшифрованного сообщения.
А вообще лучше чистить при сохранении.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

Простой
Почему в букмарклете должным образом не выполняется Alt + Click?
- 1 подписчик
- 2 часа назад
- 11 просмотров
0

ответов
JavaScript

Средний
Как создать кроссбраузерный функиональный плеер?
- 1 подписчик
- 2 часа назад
- 14 просмотров
0

ответов
PHP

+1 ещё

Средний
Почему одинаково-написанный curl запрос отдает разные ответы?
- 1 подписчик
- 6 часов назад
- 73 просмотра
0

ответов
PHP

+1 ещё

Простой
Как импортировать xlsx и csv в базу данных битрикса?
- 1 подписчик
- 6 часов назад
- 7 просмотров
1

ответ
PHP

Простой
Как работать с округлением?
- 1 подписчик
- 10 часов назад
- 73 просмотра
1

ответ
JavaScript

+1 ещё

Средний
Почему функция mnemonicToWalletKey из библиотеки тон генерирует неверный адрес кошелька?
- 1 подписчик
- 10 часов назад
- 41 просмотр
1

ответ
JavaScript

+1 ещё

Простой
Как передавать данные гугл таблицы в телеграм при добавлении новой записи?
- 1 подписчик
- 11 часов назад
- 48 просмотров
0

ответов
PHP

Простой
Вывожу куки в корзине, куда записал товар, не выводит, в чем ошибка?
- 1 подписчик
- 12 часов назад
- 65 просмотров
0

ответов
JavaScript

Простой
Проблема с добавлением полей товара в куки, почему-то при клике ничего в куки не записывает, что делать?
- 1 подписчик
- 12 часов назад
- 27 просмотров
2

ответа
JavaScript

+3 ещё

Средний
Какие есть способы организовать редкое добавление статей на сайт?
- 1 подписчик
- 13 часов назад
- 87 просмотров
1

ответ
Показать ещё Загружается…

Junior JavaScript Developer

КРАФТТЕК • Санкт-Петербург

от 60 000 до 80 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript Fullstack

OnClass

от 200 000 до 600 000 ₽

Каталог AI tools

18 апр. 2024, в 01:12

150000 руб./за проект

Загрузка характеристик из xml/csv файла в карточки товаров WordPress

18 апр. 2024, в 00:58

5000 руб./за проект

Нарисовать подарки для соц сети

18 апр. 2024, в 00:10

50000 руб./за проект

Answer 1 · 2016-07-12 17:58:33

Фильтруйте текст перед отправков в БД/выводом на сайте

php.net/manual/ru/function.htmlspecialchars.php

<? echo htmlspecialchars('<script>....'); ?>

UPD:

htmlspecialchars(strip_tags(base64_decode($otz["text"])));

Answer 2 · 2016-07-12 17:56:39

Это и есть вирус, куки ваши стянули, вероятно вы там логин и пароль хранили)))))
Юзайте strip_tags, htmlspecialchars и им подобные.

Не храните никакой важной информации в куках, максимум информация о браузере и прочее, что не несет в себе потенциальной угрозы. Куки самое незащищенное место. А в этом скрипте якобы подгружается картинка средствами js, но на самом деле передаются ваши куки (то есть куки админа).

Возможно ли выполнение вредоносного скрипта?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт