 Autor
|
Tema: como protegerme de esto si tiene que pasar una web entera (Leído 9,122 veces)
|
tecasoft
 Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
como puedo protegerme de esto si tiene que pasar una web entera por el $_POST, me da igual bloquear el <iframe></iframe> y el <frame></frame> y el <frameset></frameset> este es el link donde salen, me parece que no se me escapa ninguna: http://librosweb.es/xhtml/capitulo_2/etiquetas_y_atributos.htmlpor el $_POST tiene que pasar toda una web y claro si no quito esas etiquetas me pueden hacer ataques de todo tipo, el XSS me da = prueba.php <html>
<head>
</head>
<body>
<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>
</body>
</html>
prueba2.php <?php
header('X-XSS-Protection: 0');
$texto = $_POST["texto"];
echo $texto;
?>
y luego introduzco esto que podria estar fuera del servidor el .php: <html><head></head><body><iframe src="prueba6.php" width="1000px" height="1000px"></iframe></body></html>
prueba6.php = archivo alojado fuera del servidor <?php
//system("ls");
$file = readfile("filter_var.php");
echo $file;
?>
y se veria el codigo fuente de cualquier archivo del servidor,modificaciones,etc,nose que puedo hacer, hecharme una mano x favor,gracias
|
|
|
|
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
|
#!drvy
|
Lo que estas haciendo es abrir todas las puertas y ventanas de tu casa... y pretendes protegerte...
Saludos
|
|
|
|
|
En línea
|
|
|
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
drvy | BSM parece ser seguro, estaba haciendo todo en localhost por eso el php me lo cojia del localhost el prueba6.php. Ahora he puesto prueba6.php x ejemplo en: tecasystem.com y desde localhost hago todo lo demas y lo unico que se ve es el server donde esta alojado el prueba6.php, no desde localhost que tengo todos mis datos, es decir, se ejecuta donde esta el archivo,entiendes?es un error mio lo comprendes a que me refiero? ahora ya no se ve el codigo fuente ni nada,parece seguro auque pueden poner un iframe hacia un virus y asi infectar el pc que quieran,pero en eso no estoy pensando,comprendes lo que quiero hacer(un CMS propio). Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php |
|
|
|
« Última modificación: 4 Mayo 2013, 13:43 pm por tecasoft »
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
EFEX
Desconectado
Mensajes: 1.171
"Dinero Facil"
|
tecasoft, asi como lo veo no entiendo que uso le estas dando, creo en que estas aplicando mal las cosas. No te enojes, creo en que deberias estudiar mas sobre vulnerabilidades y seguridad en aplicaciones web. |
|
|
|
|
En línea
|
|
|
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
pero XSS me da = intenta hacerme algo en la web haber si puedes. espero haber si me devuelves contestacion   Edito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias |
|
|
|
« Última modificación: 4 Mayo 2013, 18:39 pm por tecasoft »
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
|
daryo
|
lo lei como 100000000 veces y no entendi que intentas hacer  bueno suponiendo que lo que quieres es mostrar un archivo php en pantalla prueba con html entities http://php.net/manual/es/function.htmlentities.php<?php //system("ls"); ?>
|
|
|
|
« Última modificación: 4 Mayo 2013, 19:00 pm por daryo »
|
En línea
|
buenas
|
|
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
|
|
|
|
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
|
daryo
|
solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
aa vale pregunta: que haras cuando tengas un cms que necesariamente necesitara cookies y un xss en el que pueden poner cualquier codigo incluyendo javascript que podria con las cookies de admin modificar el codigo de fuente de una web o hacer un worm? incluso se me ocurre que con ese iframe seria bastante simple hacer phishing... o cosas como likejacking clickjacking etc etc
|
|
|
|
« Última modificación: 4 Mayo 2013, 19:16 pm por daryo »
|
En línea
|
buenas
|
|
|
tecasoft
Desconectado
Mensajes: 319
Ciberseguridad tecasoft.com
|
te dejo que pruebes la web y me dices algo http://www.tecasystem.com/prueba.phpprueba.php <html>
<head>
</head>
<body>
<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>
</body>
</html>
y prueba2.php <?php
header('X-XSS-Protection: 0');
$texto = $_POST["texto"];
echo $texto;
?>
Edito: asi me gusta daryo te tengo que dar las gracias x sacar a la luz trukillos,voy a repasarlo un poco haber. |
|
|
|
« Última modificación: 4 Mayo 2013, 19:24 pm por tecasoft »
|
En línea
|
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
|
|
|
|
daryo
|
pues si probe con un tipico alert y salio el mensaje por eso te digo ...
pd: por nada
|
|
|
|
|
En línea
|
buenas
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
¿Cuanto tiempo tiene que pasar?
Sugerencias y dudas sobre el Foro
|
dimitrix
|
4
|
2,865
|
2 Febrero 2008, 22:50 pm
por dimitrix
|
|
|
|
guardar pagina entera como PDF (problema)
PHP
|
maxwellnewage
|
2
|
4,388
|
22 Abril 2010, 18:27 pm
por maxwellnewage
|
|
|
|
Como puedo protegerme de un ataque HTTP HEADER ?
Seguridad
|
stribok
|
8
|
8,680
|
22 Junio 2011, 18:06 pm
por XayOn
|
|
|
|
Como protegerme de intrusiones y sniffing en un red Wifi pública
« 1 2 »
Hacking
|
okik
|
16
|
11,995
|
20 Abril 2015, 03:04 am
por Bichosito
|
|
|
|
Como protegerme ante ataques por programas
Wireless en Windows
|
yuiasascura
|
2
|
4,889
|
30 Julio 2017, 07:55 am
por yuiasascura
|
 |
