[Symfony 3.3] Patcher attaque XSS
patrice86
Messages postés
1380
Date d'inscription
Statut
Membre
Dernière intervention
-
patrice86 Messages postés 1380 Date d'inscription Statut Membre Dernière intervention -
patrice86 Messages postés 1380 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Avec mon équipe, nous développons une application que nous vendons à nos clients.
Après un audit de sécurité, il nous reste une faille à combler, les attaques XSS.
L'application comprend des champs notes qui utilisent CKEditor dans le but de sauvegarder du HTML dans la BDD (car parfois envoyé par mail).
Après des tests, il s'avère en effet que si on ajoute un simple bout de code JS, il est éxécuté par le navigateur :
Nous devons donc patcher notre application contre les failles XSS hors, le faire à la mano est quasiment mission impossible étant donné le nombre impressionnant de failles XSS existante (balise img.src, script, embed, flash, javascript, etc).
Nous avons essayé d'utiliser HTMLPurifier mais sans succès, il supprime les attributs que nous avons créé et dont nous avons besoin.
HTMLPurifier nous retourne <span>XXXX</span>. Hors nous avons besoin de garder les attributs contenteditable et data-XX-mapping-name.
Si vous avez plus d'info sur HTMLPurifier ou sur une façon de contourner cette faille, je suis preneur ;) Par besoin de htmlspecialchars, nous avons besoin que les balises <u>, <strong>... soient exécutées.
Développement sous Symfony 3.3, PHP 7.
Merci pour le coup de main :)
Avec mon équipe, nous développons une application que nous vendons à nos clients.
Après un audit de sécurité, il nous reste une faille à combler, les attaques XSS.
L'application comprend des champs notes qui utilisent CKEditor dans le but de sauvegarder du HTML dans la BDD (car parfois envoyé par mail).
Après des tests, il s'avère en effet que si on ajoute un simple bout de code JS, il est éxécuté par le navigateur :
<script>alert('OK');</script>
Nous devons donc patcher notre application contre les failles XSS hors, le faire à la mano est quasiment mission impossible étant donné le nombre impressionnant de failles XSS existante (balise img.src, script, embed, flash, javascript, etc).
Nous avons essayé d'utiliser HTMLPurifier mais sans succès, il supprime les attributs que nous avons créé et dont nous avons besoin.
<span contenteditable="false" data-XX-mapping-name="XXXX">XXXX</span>
HTMLPurifier nous retourne <span>XXXX</span>. Hors nous avons besoin de garder les attributs contenteditable et data-XX-mapping-name.
Si vous avez plus d'info sur HTMLPurifier ou sur une façon de contourner cette faille, je suis preneur ;) Par besoin de htmlspecialchars, nous avons besoin que les balises <u>, <strong>... soient exécutées.
Développement sous Symfony 3.3, PHP 7.
Merci pour le coup de main :)
A voir également:
- [Symfony 3.3] Patcher attaque XSS
- Explorer patcher - Télécharger - Personnalisation
- Opencore legacy patcher - Accueil - MacOS
- Lucky patcher - Télécharger - Divers Utilitaires
- Lucky patcher avis ✓ - Forum Téléphones & tablettes Android
- Attaque par dictionnaire - Guide
1 réponse
Salut,
Je ne connais pas bien HTMLPurifier mais d'après la config il est possible de définir les attributs autorisés : http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes
Bonne journée,
Je ne connais pas bien HTMLPurifier mais d'après la config il est possible de définir les attributs autorisés : http://htmlpurifier.org/live/configdoc/plain.html#HTML.AllowedAttributes
Bonne journée,
Plusieurs recherches depuis 2 jours mais rien n'y fait, nos attributs personnalisés ne sont pas pris en compte.