XSS met $_SERVER['PHP_SELF']

Vandaag ga ik uitleggen hoe $_SERVER['PHP_SELF'] een gevaar kan vormen. Ik leg uit wat het is, hoe het tot een beveiligingslek kan leiden, en hoe je het tegen kunt gaan.

Wat is $_SERVER['PHP_SELF']?

$_SERVER['PHP_SELF'] wordt vooral gebruikt in formulieren. De ingevulde gegevens worden naar dezelfde pagina verstuurt als waar het formulier staat.

Stel, het formulier is als volgt, en staat op http://jouwwebsite.nl/direct/vb.php

<form action="<? echo $_SERVER['PHP_SELF']; ?>" method="post">
Emailadres: <input type="text" name="email" />
</form>

Bij het openen, zal dat tot het volgende leiden:

<form action="/direct/vb.php" method="post">
Emailadres: <input type="text" name="email" />
</form>

$_SERVER['PHP_SELF'] geeft dus het pad naar het bestand dat op dat moment wordt uitgevoerd.

Wat is het gevaar hiervan?

Laten we verder gaan met ons voorbeeld. Stel dat een kwaadwillig persoon de pagina op deze manier aanvraagt:

http://jouwwebsite.nl/direct/vb.php/" onload="<script>alert(document.cookie)</script>

Dan zal de code als volgt worden:

<form action="/direct/vb.php/" onload="<script>alert(document.cookie)</script>" method="post">
Emailadres: <input type="text" name="email" />
</form>

Zoals je kan zien is er nu een code uitgevoerd op een plek waar dat niet hoort. In het voorbeeld zal het enkel leiden tot het weergeven van de cookie, maar je begrijpt wel dat de gevolgen veel ernstiger kunnen zijn.

Hoe gaan we dit lek tegen?

In plaats van $_SERVER['PHP_SELF'], zet je simpelweg niets neer. Zo dus:

<form action="" method="post">

Op deze manier zal het formulier via dezelfde weg worden verzonden, maar is het beveiligingslek weg.


Hopelijk is de boodschap duidelijk. Wat je dus moet onthouden: Gebruik nooit $_SERVER['PHP_SELF'] in een formulier! Vergeet niet om rechts op LEUK te klikken als je deze tutorial leerzaam vond. Vragen kunnen in de reacties of op het forum worden gesteld.

Reacties (14)

Plaats reactie