Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hiho,

ich bastel gerade an einer PHP-BB-Funktion und wollte dabei ein paar Ausnahmen für HTML-Tags erstellen. Unter anderem auch für das IMG-Tag.

Ich konvertiere dazu das Tag zunächst in BB-Code. Entferne danach alle HTML-Tags und wandel die BB-Codes wieder in HTML um.

  $text = preg_replace("/\<img src=\"(.*?)\"\>/si", "[img=\\1]", $text);
$text=striptags($text);
$text = preg_replace("/\[img\](.*?)\[\/img\]/si", "<img src=\"\\1\">", $text);[/PHP]

Leider kann man auch <img src="bild.gif" onload="alert('XSS');"> eingeben und der wandelt das mit um.

So ist das nämlich etwas...naja...sagen wir mal ungünstig:D

[code] wird zu: [img]bild.gif" onload="alert('XSS');[/img] und dann zu <img src="bild.gif" onload="alert('XSS');"> [/code]

Im bin bei REGEX noch Anfänger, wie kann ich dafür sorgen, dass er wirklich nur die Grafik-Url in den BB-Code übernimmt?

Geschrieben

 $text = preg_replace("/\<img src=\"([^\"]*)\"\>/si", "[img=\\1]", $text); 

der Bildpfad darf ja alles, "außer" einem Anführungszeichen enthalten.

Natürlich währe es noch sauberer [0-9a-zA-Z....(andere zeichen)] zu verwenden um auch hier mist zu unterdrücken.

Geschrieben

Und in dem Fall?

<img src="javascript:alert('XSS!')">
Im IE6 funktioniert das tatsächlich. Ergo: grunsätzlich alles doppelt und dreifach validieren, was der Nutzer eingeben kann.

wird zu:

[img]bild.gif" onload="alert('XSS');[/img]

und dann zu

<img src="bild.gif" onload="alert('XSS');">

Hast du das %7Boption%7D Tag von phpBB selbst angepasst, oder was? normalerweise sollte der sowas nicht übernehmen.

Geschrieben

Ich konvertiere dazu das Tag zunächst in BB-Code. Entferne danach alle HTML-Tags und wandel die BB-Codes wieder in HTML um.

Versteh ich dich richtig, du läßt die Benutzer HTML-Tags eingeben, wandelst die dann im BB-Tags um und danach wieder in HTML?

BB-Code ist ja dafür da, dass kein HTML eingegeben werden muss/kann/soll.

Lass die doch gleich BB-Code eingeben, dann fällt ein Schritt schonmal weg.

Alles innerhalb des %7Boption%7D ist der Pfad zum Bild. Das kannst du dann recht einfach prüfen, indem du das z.B. selbst lädst (nach anderen Prüfungen versteht sich ;) ).

Es ist ja theoretisch auch kein Problem, ein Javascript als .jpg auf irgendeinem Server abzulegen. Ich weiß allerdings nicht, ob der Browser den MIME-Type überprüft für imgs. Naja, wäre IMHO blöd wenn nicht.

Aber um sicherzugehen, lädt dein Server das Bild und kann daraus dann andere Infos noch bestimmen (Bildgröße u.ä.).

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...