Al empezar a escribir, iba a comentar un "bug" presente en ASP.NET 2.0, pero para no hacer tan larga -y aburrida- esta entrada, lo haré en dos partes
ASP.NET, provee por defecto una limitada protección contra ataques XSS a través del atributo ValidateRequest, que se puede definir tanto a nivel de página como a nivel de la aplicación.
Si no sabes/sabías -como yo- como desactivar el toolbar que aparece -al poner el mouse- sobre las imágenes en Internet Explorer, continúa con la lectura de esta entrada 🙂
Para desactivar el toolbar mostrado sobre cada imagen por este excelente navegador :D, pueden hacer lo siguiente:
A partir de ahora cualquier usuario con una cuenta de Windows Live Id o Hotmail podrá aportar a la documentación de MSDN, por el momento sólo se pueden hacer contribuciones a la documentación de Visual Studio 2005 y Windows SDK
Algunas características adicionales:
A continuación muestro una porción de un mail que recibí como respuesta ante el reporte de un pequeño bug.
Revisaré todo a fondo... Tenemos un sistema de captchas preparado pero no querríamos implantarlo hasta que fuera necesario (por eso de hacérselo más fácil a los usuarios más torpes, que son muchos más de lo que te imaginas) pero dado el crecimiento creo que va siendo hora. Se que esto suponía tirar para atrás el día que tuviéramos el primer abuso, limpiar BD y ponerlo de inmediato.
Me gustaría saber, como hace para determinar si un usuario es "torpe" o no, y también como saben cuantos usuarios "torpes" visitan ese sitio.
Continuando con la serie, ¿qué cosas se tienen que cumplir para que el siguiente código sea vulnerable a XSS?
$color = '000';
if ( !empty($_GET['color']) ) {
$color = htmlentities(strip_tags($_GET['color']));
}
?>
<html>
<head>
<title>Anti XSS Page :D</title>
<style type="text/css">
#demo {
width: 100%;
height: 50px;
background: #<?php echo $color; ?>;
}
</style>
</head>
<body>
<div id="demo">
</div>
</body>
</html>