ASP.NET - Inyeccion de Codigo HTML

   
Vista:

Inyeccion de Codigo HTML

Publicado por ricardo samillan (1 intervención) el 05/10/2015 23:21:36
hola buen dia a todos,

tengo una consulta , actualmente tengo mi aplicacion hecha en HTML5 Bootstrap (frontend) y ASPX (backend), tengo un registro de mantenimiento , en donde actualmente se

encuentra en produccion, el sitio web es un sistemas de encuestas en donde guarda la encuestas definidas por el usuario cliente, entoncs ellos se encargan de hacer el

registro respectivo , el problema es el siguiente :

Siempre en el formulario en donde se encuentran los registros de las encuestas registradas, aveces encuentro la descripcion de la encuensta, mas este codigo html, que

es el siguiente :.

<div style="display:none">how to know your wife cheated<a href="http://www.robertsuk.com/page/So-Your-Wife-Cheated.aspx">robertsuk.com</a>why do i want my wife to cheat on me</div>

en resultado seria asi, mi encuensta mas el codigo html inyectado:
¿Que tan satisfecho está con la ubicación de nuestro proyecto? <div style="display:none">how to know your wife cheated<a href="http://www.robertsuk.com/page/So-Your-Wife-Cheated.aspx">robertsuk.com</a>why do i want my wife to cheat on me</div>


lo que me hizo pensar que el problema se trate de alguien que esta ingresando la informacion del html aproposito, otras personas me dijeron que puede ser un robot o se trate de inyeccion de codigo por medio de un virus en mi server.

sin embargo, desde el lado cliente he hecho la validacion en javascript con jquery para que no me permite agregar etiquetas html, osea si en la caja de texto detecta etiquetas html o si no el signo "<" o ">", simplemente me valida y no va al server,

inclusive dentro del codigo del servido (codigo c#) tambien hago la misma validacion que me detecte si tene informacion HTML que simplemente no se vaya a la capa controller a guardar la inforacion a la base de datos, y tambien en el lado del cliente he implementado un codigo captcha.

sin embargo hice esa validacion lo hice el dia viernes, y hoy lunes HE ENCONTRADO INFORMACION INYECTADA, osea ni la validacion que hice en el lado del cliente ni la validacion que hice en el lado del server valieron y eso que tambien en el lado del cliente HE IMPLEMENTADO UN CODIGO CAPTCHA.. pero tampoco!!!!

por favor, alguien me podria decir a que se debe ese problema, que clase de virus me puede estar inyectando codigo html de esa forma, para mi es la primera vez que me sucede algo asi


Gracias de ante mano por la respuesta.
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder

Inyeccion de Codigo HTML

Publicado por Khristian (80 intervenciones) el 08/10/2015 02:23:31
pero es esencial que digas si tu aplicacion utiliza codigo html en los textos que registra el usuario.

si no necesita codigo html, evitalo con expresiones regulares, y al guardar ese registro, utiliza funciones de texto solo para extraer texto, dejando fuera el html.

si se requiere html, has el registro en 2 pasos. Utiliza CKEditor u otro similar para que este administre el texto y su html. una vez guardado, pasa la responsabilidad a un admin a fin de que valide. si el admin valida el texto, recien puede ser utilizado ese registro. si no lo valida, que lo devuelva o lo pueda modificar.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar