Perguntas sobre XSS no evento

Author: Ricardo Soares - Postado em: 27/10/2008
Relacionado as categorias: Segurança, Tecnologia, Diversos |  





Apresentei neste último final de semana uma palestra sobre XSS e foi questionado sobre alguns pontos que gostaria de comentar mais aqui neste post.

P: Se eu utilizo um CMS popular e quero aplicar e/ou criar um código que evite XSS, aquela função strip_tags parece bem útil porem como fazer caso queira que algumas TAGs como TAGs de formatação de texto sejam permitidas e outras não?
R: Você pode utilizar ela e informar como parâmetro as TAGs que você deseja permitir. Para maiores informações veja o manual, o parâmetro em questão é o segundo parâmetro que seria o $allowable_tags http://br.php.net/strip_tags

P: Não podemos utilizar o mod_rewrite do apache para filtrar a comunicação com o cliente?
R: Sim, podemos. O que ocorre é que nunca observei ninguém utilizando o apache para implementar filtros contra XSS, mas a idéia é muito boa, por isto efetuei um estudo, ainda não concluído, sobre o assunto. Em sua maioria o que encontrei foi pessoas comentando da necessidade de alterar pelo mod_rewrite a extensão dos arquivos de PHP para HTML de maneira a ficar menos claro qual tecnologia é utilizada no sistema e que existe sim alguns itens implementados diretamente no apache para evitar ataques de XSS, o que ocorre é que em sua maioria não são filtros para impedir que o usuário insira comandos como javascript no conteúdo à ser encaminhado para o sistema, mas alguns filtros mais diretos como os comentados nos links abaixo:
Filtro para impedir ataque sobre arquivos PDFs
http://www.owasp.org/index.php/PDF_Attack_Filter_for_Apache_mod_rewrite
Modulo do apache para impedir ataque no modulo imap do apache
http://xforce.iss.net/xforce/xfdb/23612

Outro item que é importante mas acabou não sendo comentado muito na apresentação por falta de tempo seriam as vertentes do XSS, uma que gostaria de ter comentado e não pude foi justamente a XST, este é um item que pode ser evitado com o Apache. Abaixo link comentando sobre o assunto.
http://searchsecurity.techtarget.com/expert/KnowledgebaseAnswer/0,289625,sid14_gci1243797,00.html













Comments

Leave a Reply






Últimos posts