elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  como protegerme de esto si tiene que pasar una web entera
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: como protegerme de esto si tiene que pasar una web entera  (Leído 9,235 veces)
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
como protegerme de esto si tiene que pasar una web entera
« en: 4 Mayo 2013, 03:29 am »

como puedo protegerme de esto si tiene que pasar una web entera por el $_POST, me da igual bloquear el <iframe></iframe> y el <frame></frame> y el <frameset></frameset> este es el link donde salen, me parece que no se me escapa ninguna:

http://librosweb.es/xhtml/capitulo_2/etiquetas_y_atributos.html

por el $_POST tiene que pasar toda una web y claro si no quito esas etiquetas me pueden hacer ataques de todo tipo, el XSS me da =

prueba.php
Código:
<html>
<head>

</head>
<body>

<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>



</body>
</html>


prueba2.php
Código:
<?php
header('X-XSS-Protection: 0');

$texto = $_POST["texto"];

echo $texto;
?>

y luego introduzco esto que podria estar fuera del servidor el .php:

Código:
<html><head></head><body><iframe src="prueba6.php" width="1000px" height="1000px"></iframe></body></html>


prueba6.php = archivo alojado fuera del servidor
Código:
<?php
//system("ls");
$file = readfile("filter_var.php");
echo $file;
?>


y se veria el codigo fuente de cualquier archivo del servidor,modificaciones,etc,nose que puedo hacer, hecharme una mano x favor,gracias


En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #1 en: 4 Mayo 2013, 08:38 am »

Lo que estas haciendo es abrir todas las puertas y ventanas de tu casa... y pretendes protegerte...

Saludos


En línea

tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #2 en: 4 Mayo 2013, 13:17 pm »

drvy | BSM parece ser seguro, estaba haciendo todo en localhost por eso el php me lo cojia del localhost el prueba6.php. Ahora he puesto prueba6.php x ejemplo en: tecasystem.com y desde localhost hago todo lo demas y lo unico que se ve es el server donde esta alojado el prueba6.php, no desde localhost que tengo todos mis datos, es decir, se ejecuta donde esta el archivo,entiendes?es un error mio lo comprendes a que me refiero? ahora ya no se ve el codigo fuente ni nada,parece seguro auque pueden poner un iframe hacia un virus y asi infectar el pc que quieran,pero en eso no estoy pensando,comprendes lo que quiero hacer(un CMS propio).

Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php
« Última modificación: 4 Mayo 2013, 13:43 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
EFEX


Desconectado Desconectado

Mensajes: 1.171


"Dinero Facil"


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #3 en: 4 Mayo 2013, 18:28 pm »

tecasoft, asi como lo veo no entiendo que uso le estas dando, creo en que estas aplicando mal las cosas.

Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php

No te enojes, creo en que deberias estudiar mas sobre vulnerabilidades y seguridad en aplicaciones web.
En línea

tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #4 en: 4 Mayo 2013, 18:35 pm »

pero XSS me da = intenta hacerme algo en la web haber si puedes. espero haber si me devuelves contestacion  :silbar:  ;-)

Edito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias
« Última modificación: 4 Mayo 2013, 18:39 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #5 en: 4 Mayo 2013, 18:56 pm »

lo lei como 100000000 veces y no entendi que intentas hacer  :laugh:


bueno suponiendo que lo que quieres es mostrar un archivo php en pantalla prueba con html entities
http://php.net/manual/es/function.htmlentities.php

Código
  1. <?php
  2. //system("ls");
  3. $file = readfile("filter_var.php");
  4. echo htmlentities($file);
  5. ?>
« Última modificación: 4 Mayo 2013, 19:00 pm por daryo » En línea

buenas
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #6 en: 4 Mayo 2013, 18:59 pm »

solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #7 en: 4 Mayo 2013, 19:00 pm »

solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
aa vale

pregunta: que haras cuando tengas un cms que necesariamente necesitara cookies y un xss en el que pueden poner cualquier codigo incluyendo javascript que podria con las cookies de admin modificar el codigo de fuente de una web o hacer un worm?

incluso se me ocurre que con ese iframe seria bastante simple hacer phishing...

o cosas como likejacking clickjacking etc etc
« Última modificación: 4 Mayo 2013, 19:16 pm por daryo » En línea

buenas
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #8 en: 4 Mayo 2013, 19:20 pm »

te dejo que pruebes la web y me dices algo http://www.tecasystem.com/prueba.php

prueba.php
Código:
<html>
<head>

</head>
<body>

<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>



</body>
</html>

y prueba2.php

Código:
<?php
header('X-XSS-Protection: 0');

$texto = $_POST["texto"];

echo $texto;
?>

Edito: asi me gusta daryo te tengo que dar las gracias x sacar a la luz trukillos,voy a repasarlo un poco haber.
« Última modificación: 4 Mayo 2013, 19:24 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #9 en: 4 Mayo 2013, 19:24 pm »

pues si probe con un tipico alert y salio el mensaje por eso te digo ...


pd: por nada
En línea

buenas
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Cuanto tiempo tiene que pasar?
Sugerencias y dudas sobre el Foro
dimitrix 4 2,910 Último mensaje 2 Febrero 2008, 22:50 pm
por dimitrix
guardar pagina entera como PDF (problema)
PHP
maxwellnewage 2 4,405 Último mensaje 22 Abril 2010, 18:27 pm
por maxwellnewage
Como puedo protegerme de un ataque HTTP HEADER ?
Seguridad
stribok 8 8,728 Último mensaje 22 Junio 2011, 18:06 pm
por XayOn
Como protegerme de intrusiones y sniffing en un red Wifi pública « 1 2 »
Hacking
okik 16 12,110 Último mensaje 20 Abril 2015, 03:04 am
por Bichosito
Como protegerme ante ataques por programas
Wireless en Windows
yuiasascura 2 4,934 Último mensaje 30 Julio 2017, 07:55 am
por yuiasascura
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines