alguien conoce htmLawed para que me ayude a configurlo

pithon · #1 (**permalink**) 17/07/2013, 14:38

Alguien me puede ayudar a configurar htmLawed para evitar ataques xss, pero poder permitir todas las etiquetas html con sus estilos ya que lo quiero implementar en un texto enriquecido, alguna ayuda, o de alguna funcion que funcione.

Saludos.

Triby · #2 (**permalink**) 17/07/2013, 14:58

Necesitas ver estos dos temas:
- Limpiar HTML
- Evitar XSS

pithon · #3 (**permalink**) 17/07/2013, 15:25

Hola Triby, para evitar los xss me quedo claro pero para limpiar el html no, ya que lo que quiero es permitir html y css osea todo lo que se puede clear en un texto enriquecido, yo probe asin:
$config = array('safe'=>1);
$limpiar=htmLawed($_POST['variable'],$config);

creo que esto deberia permitir todo el html y evitar los script pero no me funciona.
cuando envio los datos por post utilizo ajax y el la pagina php que es donde quiero limpiar la variable que paso por post que la hice de esa forma pero no me elimina los script, no se si esque el texto enriquecido ya lo anula o algo asin uso tinyMCE.

Saludos.

Triby · #4 (**permalink**) 17/07/2013, 15:43

El ejemplo que aparece en el primer enlace tiene esto:

Código PHP:

Ver original$htmLawedConfig = array(
    'elements' => '* -object',  // Permitir todas las etiquetas, excepto object
    'keep_bad' => 0,        // Eliminar etiquetas malformadas o no permitidas
    'clean_ms_char' => 2,   // Eliminar caracteres raros insertados por MS-Word
    'comment' => 1,     // Eliminar comentarios html <!-- Esto -->
    'css_expression' => 1,  // Permitir style="" en etiquetas
);

Creo que está claro que en elements es donde especificas lo que quieres permitir, sólo necesitas agregar -etiqueta para cada etiqueta que deba ser eliminada.

De hecho, creo que esta es la configuración que quieres, sólo falta que elimine los scripts.

pithon · #5 (**permalink**) 17/07/2013, 16:02

hay una cosa que no entiendo a que te refieres que solo falta que elimine los scripts, la configuracion que posteastes elimina por completo los las etiquetas script y su interior, la configuracion que yo postee solo elimina las etiquetas dejando el interior desactivado.
Entonces a que te refieres que falta que elimine scripts?
saludos

Triby perdona tienes razon solo faltaria eliminar las etiquetas script con la configuracion que posteastes pense que las eliminaba.

Pero la configuracion que postee yo creo que ya hace todo lo que quiero, desactivar los script los comentarios, en general todos los script, menos las etiquetas html y su css, en este caso creo que solo las etiquetas xhtml y html4, eliminaria las nuevas de html5.
pero sigo confuso si por tema de seguridad esta bien.

Tengo otra pregunta sobre la funcion de gatorV usandola asin:
filterXSS('$_POST['variable']');
no elimina los comentarios no se si esto puede ser un problema.

Gracias por la ayuda un saludo.

Triby · #6 (**permalink**) 17/07/2013, 16:40

A qué te refieres con que no elimina comentarios?

De hecho, lo importante en la función de GatorV es que elimina caracteres (no imprimibles o "codificados") que pueden servir para crear etiquetas peligrosas como <script /> o <img /> con URL a scripts que permiten obtener info del usuario.

pithon · #7 (**permalink**) 17/07/2013, 16:51

me refiero a comentarios html pero no hace falta ya que la funcion seria para evitar xss, pero en realidad me da problemas la funcion de GatorV cuando intento llenar un campo oculto algo asin:
$limpia=filterXSS($_GET['variable']);
<input type='hidden' value='<?php echo$limpia;?>' name='variable'>

me da error por las etiquetas de cierre, que puedo hacer?
otra cosa con htmLawed no se puedo evitar los XSS de forma segura como la funcion de GatorV.

Triby · #8 (**permalink**) 17/07/2013, 17:03

Se supone que htmlawed y la función para evitar ataques debes usarlas cuando procesas el formulario, así puedes guardar sin problemas ni peligros los datos.

Luego, te sugiero usar htmlentities para mostrar el valor de un campo.

pithon · #9 (**permalink**) 17/07/2013, 17:12

Triby perdona mi torpeza pero no lo tengo nada claro de como hacerlo.
partiendo de un textarrea enriquecido como tinyMCE como se debe hacer si alguien escribe esto en el textarea
<form method='post' action='procesar.php'>
<textarrea name='texto'>
<script type='text/javascript'>alert("xss");</script>
</textarrea>
<input type='button'>
</form>
y en el script php donde recojo esa variable como tengo que hacerlo si lo que quiero es guardar la variable en un campo oculto pero guardando sus estilos css y etiquetas

yo probe asin:

$texto=filterXSS($_POST['texto']);
<input type='hidden' name='texto' value='<?php echo$texto;?>'/>

Triby · #10 (**permalink**) 17/07/2013, 19:14

Insisto: www.php.net/htmlentities

pithon · #11 (**permalink**) 18/07/2013, 04:24

Ok Triby con htmlentities resolvi mi problema, me queda otra duda espero que me la puedas solucionar, dices que para evitar los xss y permitir los estilos que se le apliquen en el texto enriquecido como puede ser esto <p style='color:red'>parrafo rojo</p>, dices que tengo que utilizar la funcion de GatorV y htmLawed, pero no se como deberia hacerlo ya que si le paso la funcion de GatorV me elimina los estilos directamente esto no es lo que quiero, pasandole el htmLawed dejando etiquetas html y estilos no es suficiente o aun es vulnerable, quizas es mejor modificar la funcion de GatorV para permitir etiquetas html y estilos css, perdonar pero estoy echo un lio.

Saludos

Triby · #12 (**permalink**) 18/07/2013, 11:07

Se supone que con Htmlawed ya se eliminaron todas las etiquetas peligrosas, por lo que en la función de GatorV yo comenté la siguiente sección, está casi al final:

Código PHP:

Ver originaldo {
        // Eliminar etiquetas que realmente no vamos a usar
        $old_data = $data;
        $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
    } while ($old_data !== $data);

pithon · #13 (**permalink**) 18/07/2013, 11:42

perdona por volver atras pero resulta que con htmlentities no me esta guardando bien el valor en el campo oculto yo hice esto:

<input type='hidden' value='<?php echo htmlentities($variable_limpia);?>' />

ahora lo que me sucede si miro el codigo fuente parece estar bien pero si lo miro con firebug el value se desarma no se a que es debido y por eso me da error, el formulario al procesarlo utilizo ajax no se si tiene algo que ver, alguna idea?
saludos

Triby · #14 (**permalink**) 18/07/2013, 11:47

El value se desarma?
Creo que tienes que ser más específico, porque la verdad no entendí.

Porqué usas comillas simples para delimitar los atributos html?
Aunque es válido, yo prefiero a la antigüita, con comillas dobles, ejemplo: atributo="valor"

Sobre todo porque traemos los valores de base de datos y no sabemos cuando una comilla u otro caracter puede ocasionarnos problemas.

pithon · #15 (**permalink**) 18/07/2013, 12:38

Gracias Trybi tendre en cuenta lo de las comillas dobles, cuando digo que se desarma el value me refiero que si miro el firebug sale algo asin:

<input type='hidden' contentido del texto alert('xss');value=mas codigo' />

esto es lo que sale cuando digo que se desarma el value, como lo puedo solucionar

Triby · #16 (**permalink**) 18/07/2013, 12:56

Muestra tu código PHP donde obtienes el HTML resultante y cómo armas el campo oculto, porque esto de que pongas una sola línea no da pistas para saber qué es lo que está mal.

pithon · #17 (**permalink**) 18/07/2013, 14:57

Triby en principio agradecerte el interes por ayudarme, se que solo muestro una linea pero esque el error esta en esa linea, ya se porque sucede esto pero no se como solucionarlo, sucede porque si un malintencionado intenta inserta algo asin en el campo del textarea enriquecido:

<script type='text'>alert('XSS');</script>texto normal este texto es <span style="color:red">rojo</span>este texto no tiene estilos

despues limpio la variable que recojo del textarea y la guardo asin:

<input type="hidden" value="<?php echo $variable_limpia;>" name="texto"/>

entonces creo conflictos de comillas tanto las simples como las dobles que usa tinyMCE para los estilos css, probe con addslashes pero me sigue creando conflicto.

Alguna ayuda?
saludos.

pithon · #18 (**permalink**) 18/07/2013, 15:15

bueno parece que ya lo solucione ya que tenia conflicto no solo con comillas si no con > tambien, entonces una vez pasado los filtros utilice addslashes y despues htmlentities y parece que ya funciona.

Aunque volviendo a la funcion de GatorV sobre esta parte

do {
// Eliminar etiquetas que realmente no vamos a usar

Código PHP:

Ver original$old_data = $data;
            $data = preg_replace('#</*(?:applet|b(?:ase|gsound|link)|embed|frame(?:set)?|i(?:frame|layer)|l(?:ayer|ink)|meta|object|s(?:cript|tyle)|title|xml)[^>]*+>#i', '', $data);
        } while ($old_data !== $data);

como lo puedo hacer para que el htmLawed controle esto tambien? o como puedo hacer para que la funcion de GatorV deje pasar estiquetas html y estilos css?
Saludos.