elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  Pedido de hackeo a mi web de pruebas
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Pedido de hackeo a mi web de pruebas  (Leído 3,441 veces)
Manulobo22

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Pedido de hackeo a mi web de pruebas
« en: 5 Julio 2016, 23:06 pm »

Hola estimados, primero que nada mil disculpas si esto no va aca, por favor acomodenlo en el lugar correspondiente.
El tema es el siguiente, tengo que hacer una pagina web para la facultad, la tematica es de hospedajes, hospedadores y hospedados. Un usuario puede crear hospedajes, y otros usuario pueden solicitar alojamiento en ese hospedaje, algo simple, pero con varias funciones, como panel de administrador, login y regitro, recuperar password, entre varias otras cosas.
La web la hice con PHP desde 0, sin ningun tipo de framework por lo que me gustaria ver si programe bien y me tome todos los recaudos con respecto a la seguridad de la misma.
Corrí programas que buscan vulnerabilidades y no detecto ninguna, pero no se mucho de esto asi que se los dejo en manos del que quiera y sepa para que detecte alguna vulnerabilidad y la comente asi de paso aprendemos todos.

La demo online es: www.purolobo.skn1.com.

Saludos y gracias !


En línea

jalbtercero

Desconectado Desconectado

Mensajes: 80


Ver Perfil
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #1 en: 10 Julio 2016, 14:01 pm »

Bueno no soy experimentado en esto pero puedo decirte que la pagina esta bastante bien, los requerimientos de las contraseñas son completos, no esta nada mal y ademas el tipico 'or '1'='1 no cuela asi que vas bien, pero claro eso ees muy basico.  Alguien que sepa mas que yo dudo mucho que le costara demasiado. Yo cometi ese error en mi pagina y con el 'or '1'='1 podiads pasar el usuario y la contraseña. Saludos


En línea

Manulobo22

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #2 en: 10 Julio 2016, 17:06 pm »

Bueno no soy experimentado en esto pero puedo decirte que la pagina esta bastante bien, los requerimientos de las contraseñas son completos, no esta nada mal y ademas el tipico 'or '1'='1 no cuela asi que vas bien, pero claro eso ees muy basico.  Alguien que sepa mas que yo dudo mucho que le costara demasiado. Yo cometi ese error en mi pagina y con el 'or '1'='1 podiads pasar el usuario y la contraseña. Saludos


Muchas gracias por tu tiempo ! Y si, ese es el error mas comun que se comete, me ha pasado :)
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.696


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #3 en: 10 Julio 2016, 18:35 pm »

Estoy tratando de responderte con una respuesta mas larga pero el foro no me deja publicarla.

La pregunta es si sanitizas el campo "p" que generas desde el javascript ya que le mando una petición y no recibo los clásicos errores que muestras en la pagina, lo que recibo es la pagina completa y hasta el final un mensaje de:

Código:
HTTP/1.1 400 Bad Request

Saludos!
En línea

Manulobo22

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #4 en: 11 Julio 2016, 03:01 am »

Estoy tratando de responderte con una respuesta mas larga pero el foro no me deja publicarla.

La pregunta es si sanitizas el campo "p" que generas desde el javascript ya que le mando una petición y no recibo los clásicos errores que muestras en la pagina, lo que recibo es la pagina completa y hasta el final un mensaje de:

Código:
HTTP/1.1 400 Bad Request

Saludos!

Estimado Alberto, si, lo que hago es un FILTER_SANITIZE_STRING.
Esta mal que aparezca un HTTP/1.1 400 Bad Request ?

Gracias por tu tiempo ! Nos estamos hablando.
Saludos !
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.696


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #5 en: 11 Julio 2016, 03:19 am »

No se si tu imprimiste ese Error con header, pero creo que si lo haces de forma manual.

El detalle es que mando la peticion POST manualmentre desde netcat y Recibo el HTTP/1.1 200 y toda la pagina web completa, y al final de la pagina aparece ese header 400.

Entonces si vas a mandar un header 400 asegúrate que sea si y solo si, no has mandado texto normal antes, debe de ser excluyente o mandas error o mandas la pagina.

Saludos!
En línea

Manulobo22

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #6 en: 11 Julio 2016, 03:24 am »

No se si tu imprimiste ese Error con header, pero creo que si lo haces de forma manual.

El detalle es que mando la peticion POST manualmentre desde netcat y Recibo el HTTP/1.1 200 y toda la pagina web completa, y al final de la pagina aparece ese header 400.

Entonces si vas a mandar un header 400 asegúrate que sea si y solo si, no has mandado texto normal antes, debe de ser excluyente o mandas error o mandas la pagina.

Saludos!

Alberto, no mando nunca un header. Que raro, veré que puede ser.
Saludos y gracias !
En línea

AlbertoBSD
Programador y
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.696


🏴 Libertad!!!!!


Ver Perfil WWW
Re: Pedido de hackeo a mi web de pruebas
« Respuesta #7 en: 11 Julio 2016, 03:40 am »

La peticion get que mando es:

Código:
POST /login/ HTTP/1.1
Host: purolobo.skn1.com

p=<SQLi Aqui en URLENCODE>&password=&email=<SQLi Aqui en URLENCODE>


Saludos!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Pedido de Hackeo « 1 2 »
Nivel Web
Pavotron 13 5,819 Último mensaje 24 Agosto 2010, 23:34 pm
por Pavotron
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines