Tipp: gefährliche Attribute aus Tags entschärfen (XSS verhindern)

Donald · 11.02.2011, 14:43

Hallo,

man kann eine auszugebende HTML Menge ja recht gut mit striptags() säubern. Aber manchmal geht das eben nicht gut, weil man einige Tags durchaus gut findet. Natürlich kann man die guten Tags stehen lassen, aber was passiert, wenn ein <img>-Tag nebenbei das macht:

Code:

<img src="notknown.jpg" onerror="alert(1);">

Dann kann das Bild nicht geladen werden und das onerror-Attribut wird getriggert. Schon läuft JavaScript...

Das selbe gilt theoretisch für alle Attribute in allen Tags. Daher hab ich eine Filter-Routine gemacht, welche hier mehr Sicherheit schafft.

ACHTUNG: Das bietet keine alleinige Sicherheit! Man muss Tags wie zB <script> noch selbst entfernen (Tipp: striptags() Funktion von PHP). Es macht dann Sinn, wenn man bestimmte Tags (zB <form>, <input >, <img > etc.) behalten möchte. In dem Fall kann man mit dieser Funktion die verbliebenen Tags ganz einfach unschädlich machen.

Will das nicht vorenthalten, also bitte:

PHP-Code:

  /**

* Replaces all dangerous attributes from the html-tags in this document.

* Example:

* <img src="a.jpg" onerror="alert(1)" onload="alert(1)"> will get

* <img src="a.jpg" s5T38IwgH="alert(1)" s5T38IwgH="alert(1)">

*

* @param string $input document to clean

* @return string clean document

*/

function secureHTMLAttributes($input) {

    // this attributes will get neutralized

    $Attributes = Array("onabort", "onblur","onchange","onclick", "ondblclick","onerror","onfocus", "onkeydown",

                        "onkeypress","onkeyup","onload","onmousedown","onmousemove","onmouseout","onmouseover",

                        "onmouseup","onreset","onselect","onsubmit","onunload","javascript:","javascript :",

                        "eval", "script:", "script :");

 
    $output = "";

    for ($i=0;$i<=strlen($input);$i++){

        $char = substr($input, $i, 1);

 
        if ($char == ">") { $inside = $inside - 1; }

 
        if ($inside < 1) {

            if ($found != "") {

                // check the content of the tag

                $found = str_ireplace($Attributes, "s".GenerateCode(6), $found);

            }

            $output .= $found . $char;

            $found = "";

        } else {

            $found .= $char;

        }

 
        if ($char == "<") { $inside = $inside + 1; }

    }

 
    return $output;

}

Und hier noch der Code für den verwendeten Zufallsgenerator:

PHP-Code:

  function GenerateCode($Length) {

    $Code = "";

    for ($x = 1; $x <= $Length; $x++) {

        if (rand(1,100) < 51 ){

            // number

            $Code = $Code . rand(0,9);

        } else {

            // char

            if (rand(1,100) < 50) {

                // lowercase

                $Zeichen = strtolower(chr(rand(65,90)));

                $Code = $Code . $Zeichen;

            } else {

                // uppercase

                $Zeichen = chr(rand(65,90));

                $Code = $Code . $Zeichen;

            }

        }

    }

    return $Code;

}

Die folgenden Attribute werden innerhalb von beliebigen Tags entschärft, indem sie durch Zufallsbezeichner ersetzt werden:
onabort (bei Abbruch)
onblur (beim Verlassen)
onchange (bei erfolgter Änderung)
onclick (beim Anklicken)
ondblclick (bei doppeltem Anklicken)
onerror (im Fehlerfall)
onfocus (beim Aktivieren)
onkeydown (bei gedrückter Taste)
onkeypress (bei gedrückt gehaltener Taste)
onkeyup (bei losgelassener Taste)
onload (beim Laden einer Datei)
onmousedown (bei gedrückter Maustaste)
onmousemove (bei weiterbewegter Maus)
onmouseout (beim Verlassen des Elements mit der Maus)
onmouseover (beim Überfahren des Elements mit der Maus)
onmouseup (bei losgelassener Maustaste)
onreset (beim Zurücksetzen des Formulars)
onselect (beim Selektieren von Text)
onsubmit (beim Absenden des Formulars)
onunload (beim Verlassen der Datei)
javascript: (bei Verweisen)
script:
eval

Achtung, das arbeitet auch innerhalb von HTML Kommentaren etc. Das sollte bei der Ausgabe aber ja nicht stören...

Wenn es jemand erweitern oder verbessern möchte, dann gerne

Bitte hier untendran posten.

Donald

Young Jedi · 11.02.2011, 14:47

Ehöö, wenn ich das richtig verstehe, wird aus <img src="" onblur="" /> ein <img src="" fdwef="" /> ... aua, das tut doch jeden Validator weh... Wieso dann nicht gleich entfernen.

Außerdem gibt es doch schon weitaus komplexere Filterklassen: http://htmlpurifier.org/

Young Jedi · 11.02.2011, 14:51

Achso außerdem wirft das Script bei mir haufen Notices und was bringt es mir, wenn Sachen, die direkt JS einbinden, z.B. '<script>...</script>' drinnen lässt?

Flor1an · 11.02.2011, 14:52

Man sollte ganz einfach kein HTML erlauben! Wenn du bestimmte Formatierungen oder ähnliches ermöglichen willst dann nutz BBCodes. Ansonsten wäre mir das Risiko viel zu groß dass irgendwo eine XSS Lücke entstehen könnte. Bei deinem Skript würd ich auch nicht 100% sagen das es sicher ist ...

Donald · 11.02.2011, 14:56

Hallo,

es soll ja nicht die Tags entfernen (das können andere Funktionen besser). Das ist nicht Sinn der Routine, deshalb ist der Name auch secureHTMLAttributes(). Und ja, das macht Tags draus, die ein Validator nicht mag (weil er die nicht kennt). Allerdings führt die auch kein Browser aus, und damit werden diese unschädlich. Das Validator-Thema ist der Preis dafür.

Den htmlpurifier kenne ich, aber das ist mit Kanonen auf Spatzen geschossen. Ich wollte nur die gefährlichen Attribute entschärfen. Und das macht die Routine. striptags kann doch jeder nach eigenem Gusto selbst verwenden...

Es ist nur ein Teil eines Sicherheits-Konzeptes, keine AllesInAllem Lösung (hab ich aber auch nicht so verkauft)!

[EDIT] Vielleicht nochmal zum Verständnis: Das ist keine Funktion, die man alleine zur Absicherung nutzen kann. Es ist ein Bestandteil, der XSS aus Tag-Attributen verhindern soll!

Zweite Anmerkung: Das ist ja nicht für regulären HTML-Code gedacht, sondern für Fälle in denen Daten von Usern ausgegeben werden sollen. Und um hier einen Schutz einzubauen sollte man Tags filtern und, für den Fall dass man manche Tags beibehalten möchte, diese Routine von mir verwenden.

Hab jetzt oben einen Hinweis eingefügt![/EDIT]

Donald

Young Jedi · 11.02.2011, 15:01

Ja das stimmt ja, aber was für einen Sinn hat es, das Attribut zu maskieren? Da kann es doch auch gleich entfernt werden.

Außerdem würde ich immer eine Whitelist anstatt einer Blacklist verwenden. Was ist, wenn in 2 Jahren ein neues Attribut Namens onSomethingNew dazukommt?

Desweiteren ist es, wie gesagt, trotz allem nicht sicher: <script> und ähnliche "Javascripteinleiter" kann verwendet werden. Und auch das href Attribut kann Javascript ausführen.

Flor1an · 11.02.2011, 15:10

Warum sollte man den seinen Benutzern ein paar wenige HTML Tags zulassen? Wieso dann nicht gleich BBCode nutzen und somit nicht mehr die Probleme zu haben.

ChrisB · 11.02.2011, 15:11

Zitat:

Zitat von Donald

Und ja, das macht Tags draus, die ein Validator nicht mag (weil er die nicht kennt). Allerdings führt die auch kein Browser aus, und damit werden diese unschädlich. Das Validator-Thema ist der Preis dafür.

Schon allein damit - absolutes fail.
Fehlerhaftes HTML erstellen, um die Sicherheit zu erhöhen - absoluter Unfug.
Zumal theoretisch nicht ausgeschlossen ist, dass deine „Zufallsfunktion“ wiederum Attribute erstellt, die es in HTML tatsächlich gibt - und damit sogar den Sinn des HTML-Codes entscheidend verändern könnte.

Zitat:

Wenn es jemand erweitern oder verbessern möchte, dann gerne

Das ist schon vom Konzept her totaler Quark.
Daher, die einzig angebrachte „Verbesserung“: Tonne auf, Script rein, Tonne zu.

ByStones · 11.02.2011, 15:26

Code:

<a title=">" href="javascript:alert('XSS');">Klick</a>

Geht unbeschadet durch deine Sicherung durch...

Code:

<img title=">"  alt="" src="gibtsnet.png" onerror="alert('XSS')" />

Das Ganze geht auch ohne das der User was machen muss...

Fazit: Dein Code ist suboptimal...

Wolla · 11.02.2011, 15:37

Schau mal: In diesem Forum kann man ganz schlimme Sachen posten, und dennoch passiert nichts:

<script alert('XSS')>

Und dabei kannte der Programmierer deine Funktion noch gar nicht...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
HTML-String auslesen	bit4fox	PHP Einsteiger	10	08.01.2011 16:33
verwandte Tags finden	Simbo	Datenbanken	10	07.12.2009 13:03
[Erledigt] pcre: Falsches Setzen von Tags verhindern		PHP-Fortgeschrittene	3	26.10.2004 23:11
tags verhindern?		PHP Tipps 2004	1	07.07.2004 17:22

11.02.2011, 14:43
Donald Benutzer Registriert seit: 03.04.2009 Beiträge: 66	Tipp: gefährliche Attribute aus Tags entschärfen (XSS verhindern) Hallo, man kann eine auszugebende HTML Menge ja recht gut mit striptags() säubern. Aber manchmal geht das eben nicht gut, weil man einige Tags durchaus gut findet. Natürlich kann man die guten Tags stehen lassen, aber was passiert, wenn ein <img>-Tag nebenbei das macht: Code: <img src="notknown.jpg" onerror="alert(1);"> Dann kann das Bild nicht geladen werden und das onerror-Attribut wird getriggert. Schon läuft JavaScript... Das selbe gilt theoretisch für alle Attribute in allen Tags. Daher hab ich eine Filter-Routine gemacht, welche hier mehr Sicherheit schafft. ACHTUNG: Das bietet keine alleinige Sicherheit! Man muss Tags wie zB <script> noch selbst entfernen (Tipp: striptags() Funktion von PHP). Es macht dann Sinn, wenn man bestimmte Tags (zB <form>, <input >, <img > etc.) behalten möchte. In dem Fall kann man mit dieser Funktion die verbliebenen Tags ganz einfach unschädlich machen. Will das nicht vorenthalten, also bitte: PHP-Code: /** * Replaces all dangerous attributes from the html-tags in this document. * Example: * <img src="a.jpg" onerror="alert(1)" onload="alert(1)"> will get * <img src="a.jpg" s5T38IwgH="alert(1)" s5T38IwgH="alert(1)"> * * @param string $input document to clean * @return string clean document / function secureHTMLAttributes($input) { // this attributes will get neutralized $Attributes = Array("onabort", "onblur","onchange","onclick", "ondblclick","onerror","onfocus", "onkeydown", "onkeypress","onkeyup","onload","onmousedown","onmousemove","onmouseout","onmouseover", "onmouseup","onreset","onselect","onsubmit","onunload","javascript:","javascript :", "eval", "script:", "script :"); $output = ""; for ($i=0;$i<=strlen($input);$i++){ $char = substr($input, $i, 1); if ($char == ">") { $inside = $inside - 1; } if ($inside < 1) { if ($found != "") { // check the content of the tag $found = str_ireplace($Attributes, "s".GenerateCode(6), $found); } $output .= $found . $char; $found = ""; } else { $found .= $char; } if ($char == "<") { $inside = $inside + 1; } } return $output; } Und hier noch der Code für den verwendeten Zufallsgenerator: PHP-Code: function GenerateCode($Length) { $Code = ""; for ($x = 1; $x <= $Length; $x++) { if (rand(1,100) < 51 ){ // number $Code = $Code . rand(0,9); } else { // char if (rand(1,100) < 50) { // lowercase $Zeichen = strtolower(chr(rand(65,90))); $Code = $Code . $Zeichen; } else { // uppercase $Zeichen = chr(rand(65,90)); $Code = $Code . $Zeichen; } } } return $Code; } Die folgenden Attribute werden innerhalb von beliebigen Tags entschärft, indem sie durch Zufallsbezeichner ersetzt werden:* onabort (bei Abbruch) onblur (beim Verlassen) onchange (bei erfolgter Änderung) onclick (beim Anklicken) ondblclick (bei doppeltem Anklicken) onerror (im Fehlerfall) onfocus (beim Aktivieren) onkeydown (bei gedrückter Taste) onkeypress (bei gedrückt gehaltener Taste) onkeyup (bei losgelassener Taste) onload (beim Laden einer Datei) onmousedown (bei gedrückter Maustaste) onmousemove (bei weiterbewegter Maus) onmouseout (beim Verlassen des Elements mit der Maus) onmouseover (beim Überfahren des Elements mit der Maus) onmouseup (bei losgelassener Maustaste) onreset (beim Zurücksetzen des Formulars) onselect (beim Selektieren von Text) onsubmit (beim Absenden des Formulars) onunload (beim Verlassen der Datei) javascript: (bei Verweisen) script: eval Achtung, das arbeitet auch innerhalb von HTML Kommentaren etc. Das sollte bei der Ausgabe aber ja nicht stören... Wenn es jemand erweitern oder verbessern möchte, dann gerne Bitte hier untendran posten. Donald Geändert von Chriz (11.02.2011 um 18:26 Uhr). Grund: Präfix eingefügt


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

11.02.2011, 14:47
Young Jedi Erfahrener Benutzer Registriert seit: 19.05.2008 Beiträge: 612 PHP-Kenntnisse: Fortgeschritten	Ehöö, wenn ich das richtig verstehe, wird aus <img src="" onblur="" /> ein <img src="" fdwef="" /> ... aua, das tut doch jeden Validator weh... Wieso dann nicht gleich entfernen. Außerdem gibt es doch schon weitaus komplexere Filterklassen: http://htmlpurifier.org/ __________________ http://tippsgegenlangeweile.de

11.02.2011, 14:51
Young Jedi Erfahrener Benutzer Registriert seit: 19.05.2008 Beiträge: 612 PHP-Kenntnisse: Fortgeschritten	Achso außerdem wirft das Script bei mir haufen Notices und was bringt es mir, wenn Sachen, die direkt JS einbinden, z.B. '<script>...</script>' drinnen lässt? __________________ http://tippsgegenlangeweile.de

11.02.2011, 14:52
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Man sollte ganz einfach kein HTML erlauben! Wenn du bestimmte Formatierungen oder ähnliches ermöglichen willst dann nutz BBCodes. Ansonsten wäre mir das Risiko viel zu groß dass irgendwo eine XSS Lücke entstehen könnte. Bei deinem Skript würd ich auch nicht 100% sagen das es sicher ist ...

11.02.2011, 14:56
Donald Benutzer Registriert seit: 03.04.2009 Beiträge: 66	Hallo, es soll ja nicht die Tags entfernen (das können andere Funktionen besser). Das ist nicht Sinn der Routine, deshalb ist der Name auch secureHTMLAttributes(). Und ja, das macht Tags draus, die ein Validator nicht mag (weil er die nicht kennt). Allerdings führt die auch kein Browser aus, und damit werden diese unschädlich. Das Validator-Thema ist der Preis dafür. Den htmlpurifier kenne ich, aber das ist mit Kanonen auf Spatzen geschossen. Ich wollte nur die gefährlichen Attribute entschärfen. Und das macht die Routine. striptags kann doch jeder nach eigenem Gusto selbst verwenden... Es ist nur ein Teil eines Sicherheits-Konzeptes, keine AllesInAllem Lösung (hab ich aber auch nicht so verkauft)! [EDIT] Vielleicht nochmal zum Verständnis: Das ist keine Funktion, die man alleine zur Absicherung nutzen kann. Es ist ein Bestandteil, der XSS aus Tag-Attributen verhindern soll! Zweite Anmerkung: Das ist ja nicht für regulären HTML-Code gedacht, sondern für Fälle in denen Daten von Usern ausgegeben werden sollen. Und um hier einen Schutz einzubauen sollte man Tags filtern und, für den Fall dass man manche Tags beibehalten möchte, diese Routine von mir verwenden. Hab jetzt oben einen Hinweis eingefügt![/EDIT] Donald Geändert von Donald (11.02.2011 um 15:05 Uhr).

11.02.2011, 15:01
Young Jedi Erfahrener Benutzer Registriert seit: 19.05.2008 Beiträge: 612 PHP-Kenntnisse: Fortgeschritten	Ja das stimmt ja, aber was für einen Sinn hat es, das Attribut zu maskieren? Da kann es doch auch gleich entfernt werden. Außerdem würde ich immer eine Whitelist anstatt einer Blacklist verwenden. Was ist, wenn in 2 Jahren ein neues Attribut Namens onSomethingNew dazukommt? Desweiteren ist es, wie gesagt, trotz allem nicht sicher: <script> und ähnliche "Javascripteinleiter" kann verwendet werden. Und auch das href Attribut kann Javascript ausführen. __________________ http://tippsgegenlangeweile.de

11.02.2011, 15:10
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Warum sollte man den seinen Benutzern ein paar wenige HTML Tags zulassen? Wieso dann nicht gleich BBCode nutzen und somit nicht mehr die Probleme zu haben.

11.02.2011, 15:26
ByStones Erfahrener Benutzer Registriert seit: 23.03.2010 Beiträge: 626 PHP-Kenntnisse: Anfänger	Code: <a title=">" href="javascript:alert('XSS');">Klick</a> Geht unbeschadet durch deine Sicherung durch... Code: <img title=">" alt="" src="gibtsnet.png" onerror="alert('XSS')" /> Das Ganze geht auch ohne das der User was machen muss... Fazit: Dein Code ist suboptimal... __________________ Signatur: PHP-Code: `$s = '0048656c6c6f20576f726c64'; while($i=substr($s=substr($s,2),0,2))echo"&#x00$i;";` Geändert von ByStones (11.02.2011 um 15:33 Uhr).

11.02.2011, 15:37
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Schau mal: In diesem Forum kann man ganz schlimme Sachen posten, und dennoch passiert nichts: <script alert('XSS')> Und dabei kannte der Programmierer deine Funktion noch gar nicht... __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?