Html inyection

Foro de elhacker.net

Informática

Tutoriales - Documentación (Moderadores: r32, ehn@)

Html inyection

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Html inyection (Leído 8,957 veces)

programatrix

Desconectado

Mensajes: 3.287

Html inyection

« en: 13 Diciembre 2005, 20:59 pm »

1 ¿Que es el html inyection?
Se trata de una técnica que como su propio nombre indica inyecta código dentro de una web en html...
Al inyectar código html maligno podemos hacer que el navegador se nos vuelva (loco) y muestre la web que quiera el autor del deface.
2 Y esto ¿por qué sucede?
Esto sucede porque los creadores de la web no filtraron bien las etiquetas html permitiendolo. Esto se de mucho en los libros de visitas hechos por aficionados o en tagboard hechos por aficionados a la programación. Al subir nosotros un texto a la base de datos dicho texto queda públicado en internet y como el navegador lo muestra tali lo que recibe pues si ese texto es una orden al navegador de que deje esa web mostrando otra web pues lo hace.
3 Practica
Para comprobar si el libro de visitas o lo que sea es vulnerable pues se hace lo siguiente, pones en el libro de visitas el siguiente código:

Citar

<h1>Prueba

Si aparece en negrita y grande borra y pureba también lo siguiente:

Citar

Si estas dos cosas suceden ves corriendo a notificar al webmaster de que su libro es vulnerable esto es importante IMPORTANTE NOTIFICALE
Si no te ha hecho ni caso..., pues entonces vamos al siguiente paso:

Citar

O bien:

Citar

La dirección webdetuceface tiene que ser donde tienes la web que vas a mostrar IMPORTANTE pon tu email diciendo al webmaster donde contactar para que pueda arreglar lo que has lidado
4 Ética de estos ataques
Pues estos ataques no es que sean muy éticos, pueden servir para divertirse y aprender pero no para más..., lo bueno que tiene esto es que el daño en la web es mínimo y un webmaster espabilaó lo arreglaría enseguida.
5 ¿Y como se solucionan?
Pues muy sencillo, en el archivo php tienes que filtrar lo que te entra con htmlspecialvars, así el ataque no se lleva a cabo.
6 ¿Porqué este manual?
Por dos cosas, porque no lo he visto en el foro. Y la segunda porque he visto manuales de mysql inyection, XSS y remote file inyection pero ninguno de html inyectión y me parece interesante.
Saludos 8)


« Última modificación: 13 Diciembre 2005, 21:04 pm por reydelmundo11 »	En línea

askatasun

Desconectado

Mensajes: 245

Re: Html inyection

« Respuesta #1 en: 13 Diciembre 2005, 21:04 pm »

interesantee, lo que pasa es que si no te funciona y ven en el libro de visitas <script>alert</script> te echaran un ban de por vida


	En línea

la lógica procede de la imaginación
-----------------------------------------
...y al volver la vista atrás
se ve la senda que nunca
se ha de volver a pisar. ..

programatrix

Desconectado

Mensajes: 3.287

Re: Html inyection

« Respuesta #2 en: 13 Diciembre 2005, 21:06 pm »

Usa proxy y limpia la cookie.., no es para tanto yo me quité en 5 minutos un ban de smf


« Última modificación: 13 Diciembre 2005, 21:13 pm por reydelmundo11 »	En línea

comapalta

Desconectado

Mensajes: 666

Re: Html inyection

« Respuesta #3 en: 27 Diciembre 2005, 18:26 pm »

Jajajaja bueno


	En línea

Colymore

Desconectado

Mensajes: 420

uid=0(root) gid=0(root) grupos=0(root)

Re: Html inyection

« Respuesta #4 en: 27 Diciembre 2005, 18:41 pm »

Solo una aclaracion.
Creo que esto esta mal:
Por dos cosas, porque no lo he visto en el foro. Y la segunda porque he visto manuales de mysql inyection, XSS y remote file inyection pero ninguno de html inyectión y me parece interesante.

Remote File INYECTION??Creo que es remote file inclusion remote command execution..pero inyection no me suena.
Saludos


	En línea

-Riven-Ward-

RivenSoft

Desconectado

Mensajes: 2.215

Do you like Mario? xDDDDDDDDDDDD

Re: Html inyection

« Respuesta #5 en: 27 Diciembre 2005, 18:48 pm »

Mmm...... Primero que nada es "injection", no "inyection". Segundo, esto se llama "XSS", Cross Site Scripting, no HTML Injection.

Tercero...

Código:

en el archivo php tienes que filtrar lo que te entra con htmlspecialvars

La función es htmlspecialchars()... Y también se puede usar htmlentities().

Y cuarto...

Citar

Si no te ha hecho ni caso..., pues entonces vamos al siguiente paso:

¿Cómo es eso de que si no te ha hecho ni caso? :shocked:. Siesque no te hizo caso, pues le jodes hasta que te oiga, le haces muchos sumbidos y le mandas muchos mails xDDD, pero no le juankeas la web :shocked:.

Y bueno, lo que dijo Colymore sobre el RFI.

Salu2!


	En línea

Usuario Banneado

programatrix

Desconectado

Mensajes: 3.287

Re: Html inyection

« Respuesta #6 en: 29 Diciembre 2005, 14:11 pm »

Ok, ok, gracias riven ward por completarme el tutorial

Pues es que estó en una web donde aprendí lo llamabán html inyection.
Saludos ::)


	En línea

Superplay

Desconectado

Mensajes: 670

Re: Html inyection

« Respuesta #7 en: 30 Diciembre 2005, 23:00 pm »

¿Cómo se borra la Cookie o como sea?jejejejejeje

Aconsejame un buen xploit


	En línea

"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma

lupu

Desconectado

Mensajes: 2

Re: Html inyection

« Respuesta #8 en: 2 Enero 2006, 23:06 pm »

superplay, para no saber que es una cookie no se que haces leyendo esto, has probao a buscar¿


	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Problemas con una sql inyection! Nivel Web	h3ct0r	3	3,209	17 Octubre 2011, 13:35 pm por h3ct0r
	Problema con Sql Inyection Nivel Web	Tracxus	0	1,665	16 Julio 2012, 02:48 am por Tracxus
	sql inyection en URL sin parametros Hacking	x4vYoR	2	2,860	2 Noviembre 2015, 02:34 am por x4vYoR
	¿Qué es un SLQ Inyection? Dudas Generales	QuikK-	2	2,014	14 Noviembre 2015, 22:16 pm por 2Fac3R