elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  como protegerme de esto si tiene que pasar una web entera
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: como protegerme de esto si tiene que pasar una web entera  (Leído 9,234 veces)
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #10 en: 4 Mayo 2013, 19:42 pm »

y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:

mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:

Edito: me puedes poner algun ejemplo


« Última modificación: 4 Mayo 2013, 19:43 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #11 en: 4 Mayo 2013, 19:51 pm »

y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:

mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:

Edito: me puedes poner algun ejemplo

bue yo haria esto mne registro y todo creo una web que con javascript envie automaticamente una peticion web explotando el xss antes mencionado y bue asi podria hacer lo antes mencionado desde likejacking - hasta desfacear alguna web del vecino.

luego le envio a alguien ese enlace de la pagina que modifica algo con el xss
 
en fin dependiendo como lo hagas se tendrian x o y posibilidades



En línea

buenas
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #12 en: 4 Mayo 2013, 19:58 pm »

y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?
En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #13 en: 4 Mayo 2013, 20:03 pm »

y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?

mira no soy experto en seguridad web pero se que usan tokens por sesion para hacer mas dificil el falsificar peticiones web , se filtran las salidas de las variables con htmlentities

usa los include de php(por ejem mira que el code de wordpress esta lleno de estos) en vez de esos iframes

tambien usa https para evitar algunas cosas

en fin hay muchas cosas que se pueden hacer XD

En línea

buenas
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #14 en: 4 Mayo 2013, 20:12 pm »

tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso
En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #15 en: 4 Mayo 2013, 20:15 pm »

tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso
la redireccion web o el uso de bases de datos en otro dominio es lo de menos si se programa bien la web

tanto como modificar archivos que esten en otro dominio la verdad no conozco asi que no sabria decirte pero creo que aplicaria el mismo principio si se programa bien entonces no pasa nada
En línea

buenas
tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #16 en: 4 Mayo 2013, 20:25 pm »

ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.

Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias
En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #17 en: 4 Mayo 2013, 20:28 pm »

ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.

Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias

talves mañana te mando un pv

suerte en tu proyecto
En línea

buenas
#!drvy
Moderador
***
Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: como protegerme de esto si tiene que pasar una web entera
« Respuesta #18 en: 5 Mayo 2013, 06:36 am »

Citar
Edito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias

Ya veo  :P

Mira, ahora mismo es una tontería intentar "hackear" tu web. Mas que nada porque es un estupido echo.. Tu sigue implementando de este modo (sin preocuparte de nada) y cuando la lanzes.. veremos si tus clientes (que tendrán que pagar) quedan satisfechos con su inversión...

No te lo digo a malas... pero hay que preocuparse.. Blogger tiene implementado su propio tipo de plantilla, cada blog esta en un dominio(subdominio) diferente y se preocupa de meter sus cookies/sessiones bien (solo para X dominio).

Encima, vas y desactivas la protección contra XSS..

Considera que en vez de meter el código duro y puro... podrías crear un sistema de plantillas... que el usuario se tenga que adaptar a tu sintaxis y que no tenga la libertad de meter lo que le de la gana.

PD: La regla numero 1 en cuanto a seguridad en entorno web.. Nunca te fíes de lo que te manda el usuario... nunca.
Saludos
« Última modificación: 5 Mayo 2013, 06:42 am por drvy | BSM » En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Cuanto tiempo tiene que pasar?
Sugerencias y dudas sobre el Foro
dimitrix 4 2,910 Último mensaje 2 Febrero 2008, 22:50 pm
por dimitrix
guardar pagina entera como PDF (problema)
PHP
maxwellnewage 2 4,405 Último mensaje 22 Abril 2010, 18:27 pm
por maxwellnewage
Como puedo protegerme de un ataque HTTP HEADER ?
Seguridad
stribok 8 8,728 Último mensaje 22 Junio 2011, 18:06 pm
por XayOn
Como protegerme de intrusiones y sniffing en un red Wifi pública « 1 2 »
Hacking
okik 16 12,109 Último mensaje 20 Abril 2015, 03:04 am
por Bichosito
Como protegerme ante ataques por programas
Wireless en Windows
yuiasascura 2 4,934 Último mensaje 30 Julio 2017, 07:55 am
por yuiasascura
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines