Discussion :

[Invité]

Bonjour,

la question est simple : "comment se protéger des failles xss sur un texarea ?"

On vient de me faire remarquer, très justement, qu'un de mes scripts avait une faille xss. (merci stealth35)

Je protège la récupération de mes données issues d'un formulaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
	// recuperation
	$from_input 	= htmlspecialchars(stripslashes(trim($_POST['from_input'])));
	$from_textarea 	= stripslashes(trim($_POST['from_textarea']));
	// avant passage en bdd : protection contre injection sql
	$from_input 	= mysql_real_escape_string($from_input);
	$from_textarea 	= mysql_real_escape_string($from_textarea);
?>

On a aussi :
- Sanitize filters
- filter_input

Mais je n'ai pas trouvé de solution contre les failles xss pour un textarea, qui, par définition, doit pouvoir enregistrer et afficher des balises html.

D'après ce que j'ai lu ("parcouru" serait plus juste) ici, là, ou là, ...
les hack xss "basiques" sont surtout de la forme :
- <script>alert("on t'a eu !")</script>
- <iframe src="http://site-du-hacker.com"></iframe>

-> "Comment s'en protéger au mieux ?
Une 1ère approche serait de supprimer toutes les balises <script> et <iframe> (et leur contenu) avec des regex, ou dom (?)
-> "Sera-ce suffisant ?"
-> "Quelle est la bonne méthode ?"
Merci.

[gene69]

tu mets un htmlspecialchar() à l'affichage et ça suffit. souvent tu ne dois pas interpreter le code saisi à l'interieur du textarea... ... sinon:

un peu de tidy pour nettoyer le code html saisi (parce que sinon ya des spécialiste dans le piégeage de la fonction strip_tag )
un peu de dom pour interdire les balises scripts

au fait pour moi utiliser mysql_real_escape_string() sans expliciter le "link" vers la ressource SQL m'a toujours semblé une mauvaise idée... c'est pas tout le temps faux... mais bon.. et puis pdo... et patati... et patata...

je suis un grand fan des sanitizes... mais bon ça va t'enlever les caractères non ascii uniquement...

[Benjamin Delespierre]

Empêcher l'insertion de balises iframe et script me paraît suffisant.

Tu peux le faire avec strip_tags en passant un tableau des tags autorisés.

[stealth35]

si tu veux garder la mise en forme html, fait simplement un strip_tags et garde les balises souhaité (<a> <p> <br> ...),

ps : je te déconseille de faire un stripslashes, désactive plutôt les magic_quote, etl e htmlspecialschars doit se faire uniquement a l'affichage, ta base doit être intacte

[Invité]

Me revoilà ...
Le coupable :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<p>Ceci est un autre article <strong>contenant une faille xss</strong><br /> 
entre ici -><script type="text/javascript">alert('tu fais moins le malin !');</script><- et la !</p>

-> htmlspecialchars() : ne fonctionne pas sur un textarea (puisque son rôle est justement de remplacer TOUTES les balises html, ... même les bonnes !)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<p>Ceci est un autre article <strong>contenant une faille xss</strong><br /> 
entre ici -><script type="text/javascript">alert('tu fais moins le malin !');</script><- et la !</p>

-> strip_tags() : nécessite une liste exhaustive des balises à conserver (je crains que ca ne soit limité, en terme d'"évolutivité")
(dommage qu'il n'y ait pas une version "balises-a-supprimer")

-> Il reste la piste : "supprimer les balises <script> et <iframe>" ...
Je n'y connais rien en DOM ...
J'ai bien vu ca DOMDocument::getElementsByTagName ou DOMDocument::getElementsByTagNameNS
(mais comment les utiliser ?) -> je vais étudier le code de stealth35 ici ...

Quelqu'un a la solution avec DOM ?
Avant que je m'essaie aux regex (ce n'est pas gagné non plus !), et qu'on me tape sur les doigts ...

Le but est d'obtenir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<p>Ceci est un autre article <strong>contenant une faille xss</strong><br /> 
entre ici -><- et la !</p>

[Benjamin Delespierre]

comme ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
$html = <<< HTML
<p>Ceci est du code <em>HTML</em></p>
<span>Avec des morceaux de &lt;script&gt; dedans <script>alert('j\'aime les XSS');</script></span>
HTML;
 
$doc = new DOMDocument;
$doc->loadHTML($html);
 
$list = $doc->getElementsByTagName('script');
foreach ($list as $node)
  $node->parentNode->removeChild($node);
 
echo $doc->saveHTML();

[stealth35]

y'a pas non plus énormément de balises (pour la liste c'est bien ce que tu fait avec la surpression de caractères accentués), je me contentais de ça (a rajouter/enlever si besoin:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$tags = '<a><strong><small><span><blockquote><cite><code><dd><dt><dl><div><p><em><pre><h1><h2><h3><h4><h5><h6><img><ul><ol><li><table><th><td><tr>';

et encore pour du texte style commentaire j'en mettrait beaucoup moins

[Invité]

@stealth35,
ok pour ces balises, mais avec les nouvelles balises (html5, ...) et les mises à jour des éditeurs wysiwyg, on risque d'en rater à l'avenir, non ?
[Edit] remarque stupide de ma part ... il suffit de mettre ca dans une fonction pour simplifier la mise à jour

[Invité]

J'ai un petit soucis : mon site "demo" est sur ... free.fr ! -> PHP Version 4.4.3-dev
Il faudrait que j'utilise aussi DOM XML (PHP 4)
... ou que je puisse tester la version de php et switcher entre DOM et DOM XML (?)

Ca se complique ...

[stealth35]

J'ai un petit soucis : mon site "demo" est sur ... free.fr ! -> PHP Version 4.4.3-dev

active PHP 5
.htaccess : php 1

[Invité]

Bon. en regex, ca donne ca : "supprimer les balises <script> et <iframe>"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<?php
function strip_faille_xss($text) 
{
	// suppression des balises <script>
	$text = preg_replace('#<script(.*)/script>#Ui', '', $text);
	// suppression des balises <iframe>
	$text = preg_replace('#<iframe(.*)/iframe>#Ui', '', $text);
	return $text;
}
?>

[Invité]

active PHP 5 -> .htaccess : php 1

Donc, voici la version DOM :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
function no_faille_xss($text) 
{
	$doc = new DOMDocument();
	$fragment = $doc->createDocumentFragment();
	$fragment->appendXML($text);
	$doc->appendChild($fragment);
	// suppression des balises <script>
	$list = $doc->getElementsByTagName('script');
	foreach ($list as $node)
		$node->parentNode->removeChild($node);
	// suppression des balises <iframe>
	$list = $doc->getElementsByTagName('iframe');
	foreach ($list as $node)
		$node->parentNode->removeChild($node);
 
	return $doc->saveHTML();
}
?>

[antoinelavigne]

Salut jreaux62,

étant dans la même situation que toi, je me suis tourné vers tes REGEX.

Le 1er (<script>) marche impec. Le 2ème (<iframe>) semble ne pas marcher chez moi ;

Quand à la méthode DOM (jamais entendu parler de ce truc avant ), elle me fait bugger tous les messages de mon forum avec des fatals errors PHP.

EDIT : finalement, en testant plusieurs formes d'iframe, toutes sont bloquées ! En fait, la difficulté sur cette balise vient du fait qu'elle peut prendre pleins de formes différentes, ce qui complique bien le truc

[Invité]

Bonjour,
j'attends vos retours sur les fonctions : avec regex, ou avec dom.

Après avoir testé les 2 :
- avec regex : semble bien fonctionner, avec php4 ou php5
- avec dom : semble bien fonctionner, SAUF quand il y a des entités html (&eacute;, &egrave;, ...) -> messages d'erreur

Pour l'instant, ma préférence va aux regex ...

ps : il me semble IMPORTANT de rappeler que ce ne sont pas des protection à 100% contre les failles xss !
Ces fonctions ne suppriment QUE les balises <script> et <iframe> (et leur contenu).

[stealth35]

donc ce te dérange pas d'avoir des balises <html> ou <body> dans ton texte, et briser la validation de ta page ? pourquoi ne pas retenir strips_tags c'est le plus simple a comprendre et a utiliser ...

[Invité]

euuh, j'avais pas pensé à ca ! ...
+1 pour strip_tags

Et toi, stealth35, tu fais comment ?
strip_tags ? avec ce que tu as indiqué plus haut ?

[stealth35]

euuh, j'avais pas pensé à ca ! ...

+1 pour strip_tags

ps : j'ai du mal à penser comme un hackeur. Ce n'est pas dans ma mentalité ...

allé je t'ai mis une autre faille pour la route y'a risque de CSRF

[Invité]

Petite annonce - URGENT :
Cherche petite ferme dans le Larzac, avec eau courante et éclairage à la bougie,
pour y élever des chèvres, et fabriquer du bon fromage,
loin de toute forme de technologie informatique ou de réseau wifi.
Merci.

[stealth35]

t’inquiètes pas après c'est des automatismes c'est comme faire du code HTML valide

[Invité]

C'est vrai que jusqu'à présent, je n'avais jamais été confronté directement à ce problème.
... alors qu'on trouve des textarea dans tous les formulaires !

Bon. Du coup ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<?php
function strip_tags_textarea($text) 
{
	// balises qui seront conservees
	$allowable_tags =  '<abbr><acronym><a><b><br><blockquote><cite><code><dl><dt><dd>';
	$allowable_tags .= '<div><i><img><h1><h2><h3><h4><h5><h6><hr><p><span>';
	$allowable_tags .= '<em><strong><small><pre><u><ul><ol><li>';
	$allowable_tags .= '<table><caption><legend><thead><tfoot><tbody><tr><th><td><colgroup><col>';
	return strip_tags($text, $allowable_tags);
}
?>

A voir s'il faut en ajouter ou en enlever...