elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  A ver qué os parece mi web
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: A ver qué os parece mi web  (Leído 3,076 veces)
javirk

Desconectado Desconectado

Mensajes: 102


Ver Perfil
A ver qué os parece mi web
« en: 5 Septiembre 2012, 13:13 pm »

Hola, he hecho una página web y me gustaría conocer vuestra opinión acerca de la misma, pido por favor que todos aquellos que encuentren algún tipo de vulnerabilidad me lo digan y no la exploten, por favor, que aún soy bastante novato. Bien, la web es sobre cine y se pueden buscar películas y tal, el buscador puede parecer algo lento, pero sólo es lento si nadie ha buscado aún la película que tú estás buscando en ese momento. Os dejo el link: http://www.tuzine.es

Un saludo y espero que os guste!


En línea

WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: A ver qué os parece mi web
« Respuesta #1 en: 7 Septiembre 2012, 21:33 pm »

¡Hola!, lo primero que te diría es que cumplieras todos los estándares de XHTML 1.1, que es el que estas utilizando, te recomiendo que entres en el validados de la w3c (click me!) ahí te dirán que errores tiene tu web a nivel de estándares.

Algunas cositas por encima:
  • Elimina los indices del servidor, lo puedes hacer desde el htaccess.
  • Usa HttpOnly en tus sesiones.
  • La búsqueda por mucho que la estés cacheando es demasiado lenta, están generando mal la consulta o bien tienes un error en la arquitectura de la base de datos.

Por ultimo decirte que si quieres hacer una web profesional y que este segura, lo mejor es que hagas alguna auditoria con algún profesional del sector.

Saludos!


En línea

¿Qué culpa tengo yo de tener la sangre roja y el corazón a la izquierda?
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: A ver qué os parece mi web
« Respuesta #2 en: 7 Septiembre 2012, 23:38 pm »

Desde el punto de vista estetico le falta color, y tarda en cargarse. SI quieres saber vulnerabilidades de tu web puedes pasarle el nessus,  de esta forma obtendras una vision rapida de si tu web es medianamente segura o no.
En línea

javirk

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: A ver qué os parece mi web
« Respuesta #3 en: 8 Septiembre 2012, 16:21 pm »

Hola, warghost, he validado la página y había errores, aunque la mayoría de ellos eran por los botones de twitter y facebook, que necesitaban html5 y lo tenía puesto en html4, ya lo he cambiado. Sobre lo de eliminar los índices del servidor ¿cómo se hace? He buscado por google y no lo he encontrado. Lo del httponly, he puesto ini_set('session.cookie_httponly', 1); en el index, que es la página desde la que llamo a todas las demás, ya que es lo que he leído por ahí. Gracias Warghost.

Stakewinner, he probado lo del nessus (no lo había oído nunca) y no sé si me funciona o no, he hecho una política para la web y he puesto un nuevo scan con http://www.tuzine.es pero no sé si está haciendo algo o no, ¿cuánto tiempo le suele costar? Lleva en running un rato largo ya...

Un saludo!
En línea

WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: A ver qué os parece mi web
« Respuesta #4 en: 8 Septiembre 2012, 17:33 pm »

Crear un archivo llamado .htaccess y añades los siguiente:

Código:
Options -Indexes
En línea

¿Qué culpa tengo yo de tener la sangre roja y el corazón a la izquierda?
javirk

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: A ver qué os parece mi web
« Respuesta #5 en: 8 Septiembre 2012, 18:07 pm »

¡Hecho! Gracias, ¿el resto de las cosas están bien?

Un saludo!
En línea

h3ct0r

Desconectado Desconectado

Mensajes: 108


Hail to the king baby!


Ver Perfil
Re: A ver qué os parece mi web
« Respuesta #6 en: 12 Septiembre 2012, 20:15 pm »

javirk,

Tienes varias vulns de XSS en el sitio, trata de sanitizar los datos que te coloca el usuario y conviértelos a html entities antes de meterlos en la base de datos! (Ej, el nombre del usuario en el registro).

Aqui en el foro hay varios temas de XSS para que puedas ir estudiando :
http://wiki.elhacker.net/bugs-y-exploits/nivel-web/xss (importantisimo leerlo)
https://foro.elhacker.net/nivel_web/xss_sin_script-t338828.0.html

En google hay bastantes también, es solo colocar xss tutorial para que te hagas una idea.

Saludos.
En línea

[img[/img]
WarGhost
I love basket


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: A ver qué os parece mi web
« Respuesta #7 en: 12 Septiembre 2012, 20:20 pm »

Una forma fácil de evitar los XSS y los SQLi es crear una clase que filtre absolutamente todos los inputs que recibe tu aplicación y las guarde ya filtradas en atributos.

Cuando digo filtrar todos los inputs, digo TODOS xD, tanto las variables que se reciben del servidor, como de variables get, post, como cookies, como sesiones, como encabezados etc...

Esto te hará ahorrar muchísimo tiempo y al menos la vulnerabilidades más tontas te las quitas de un plumazo.
En línea

¿Qué culpa tengo yo de tener la sangre roja y el corazón a la izquierda?
javirk

Desconectado Desconectado

Mensajes: 102


Ver Perfil
Re: A ver qué os parece mi web
« Respuesta #8 en: 13 Septiembre 2012, 10:35 am »

Hola! Me dí cuenta el otro día cuando ví la base de datos jaja y he estado mirando lo del XSS y he encontrado una clase que se llama InputFilter y yo creo que con eso basta, ¿no?. Además, estoy cambiando todas las consultas a la base de datos que hacía con mysql a PDO, que me han dicho que es más seguro y es virtualmente imposible hacer inyección SQL.

Gracias por los enlaces, h3ct0r.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Qué os parece Hetzner?
Foro Libre
WIитX 3 1,413 Último mensaje 8 Enero 2017, 13:32 pm
por nevachana
Hardware PROXMARK 3 RDV...Que os parece ???
Hacking
MAURO50 0 1,838 Último mensaje 3 Marzo 2017, 09:24 am
por MAURO50
No les parece que el FBI se fue al C@R@J0?
Foro Libre
www.infosuburbana.net 2 847 Último mensaje 2 Abril 2017, 11:20 am
por Randomize
Actualizacion a mi pc ¿Que les parece?
Hardware
Markks 9 1,021 Último mensaje 11 Noviembre 2018, 14:53 pm
por Machacador
Que os parece mi web? « 1 2 »
Desarrollo Web
juanemiliopalop 12 2,392 Último mensaje 28 Julio 2021, 00:17 am
por srWhiteSkull
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines