elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web (Moderador: #!drvy)
| | |-+  necesito pasar estos datos x post
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: necesito pasar estos datos x post  (Leído 11,310 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #20 en: 12 Abril 2013, 20:35 pm »

Vamos, esa función es para prevenir la inyección sql no un xss, la seguridad está en esos backslashses, si se los sacas pierde la seguridad, son utilizados como secuencia de escape y no se guardan... esa función no funciona con un echo, funciona con mysqli_query().


En línea

tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #21 en: 14 Abril 2013, 19:56 pm »

perfecto WHK ya voy comprendiendo contigo la dinamica de los ataques, ahora me falta lo mas importante como podria hacer una lista blanca o protegerme contra Remote code/command execution y rfi, yo pienso que con una lista blanca se protegeria uno no¿? la cuestion es mandar x el post una web en html y javascript pero k no altere nada con php es decir, Remote code/command execution y rfi...

Edito: estoy probando y no se puede ejecutar codigo Remote code/command execution y rfi haciendo un echo x un post:

Código:
<?php
header('X-XSS-Protection: 0');

$texto=$_POST["texto"];

echo $texto;
?>

que tipo de vulnerabilidad veis, sin contar xss¿? que pasaria con las etiquetas <iframe>¿?


« Última modificación: 14 Abril 2013, 20:20 pm por tecasoft » En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #22 en: 15 Abril 2013, 14:06 pm »

es imposible proteger una web con listas blancas y negras, siempre habrá un agujero de seguridad, ni si quiera google ha podido crear ese famoso filtro infalibre contra ataques informáticos, phpids que es un proyecto colosal de listas negras tiene que estar sujero todos los dias a actualizaciones porque nunca se dejan de encontrar agujeros de seguridad que invaliden su protección.

La unica manera de estar bien protegido es utilizando las funciones adecuadas en su preciso momento, nada mas que eso, si te vas por las listas blancas y negras entonces estas totalmente perdido.

La seguridad informática a nivel web no se previene con un par de lineas, es un tema demasiado extenso.

Dale un vistazo a este enlace:
https://www.owasp.org/index.php/Category:Vulnerability
En línea

tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #23 en: 15 Abril 2013, 16:56 pm »

y lo de phpids lo ves bien para ponerlo en las webs, dime tu que dirias o que utilizas¿? gracias

Edito: estoy mirando phpids como instalarlo, me lo he descargado.
En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #24 en: 15 Abril 2013, 19:04 pm »

mira, que phpids no asegurará que funcione tu web de forma 100% segura, es solo para prevenir ataques de paginas medianamente seguras, si no eres capaz de hacer ese "medianamente" entonces no te va a servir mucho.

Yo no uso ningún software especial ni ninguna regla especial y he hecho hartas webs y todas seguras, es solo cosa de acostumbrarse a programar bien, eso es todo, si no lo puedes hacer entonces olvidate del tema de la seguridad.

Ten paciencia, nada se logra de un dia para otro, date tu tiempo y practica.
En línea

tecasoft


Desconectado Desconectado

Mensajes: 319

Ciberseguridad tecasoft.com


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #25 en: 15 Abril 2013, 19:43 pm »

tienes razon whk, hay que ir despacio y lo voy hacer para practicar para que sea 100% segura, pero me podrias decir mas o menos como funciona phpids?, es que esta en ingles y no lo entiendo mucho y para que serviria phpids para detener a un hacker o para ver solo las vulnerabilidades que tienes? explicame un poco que no estoy a tu altura, muchas gracias
En línea

http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: necesito pasar estos datos x post
« Respuesta #26 en: 18 Abril 2013, 14:34 pm »

Mira, phpids lo bajas y se integra con php, no es lllegar y hacerle un include y listo, hay que configurarlo y pasarle funciones en el código, si no sabes mucho de programación entonces te va a costar un mundo.

Te recomiendo que para comenzar no utilices estos sistemas, te mal acostumbran a programar mal porque le dejas la seguridad en manos de phpids y eso no es bueno, phpids se utiliza en un sistema bien programado y bien seguro para que phpids detenga algunas fallas de seguridad no previstas, pero en ningún caso pretende hacerte todo el trabajo, phpids es vulnerable, siempre lo ha sido y siempre lo será, lo unico que hace es ayudar con la seguridad, no protegerlo al 100%.

Si quieres hacer cosas seguras entonces guiate por los estandares, haz una buena programación y listo, no necesitas ser un hacker para hacer un buén sistema web, solo debes utilizar las funciones adecuadas creadas para cada ocación, si php te dice que debes utilizar htmlspecialchars para mostrar una variable entonces eso debes hacer, si no haces lo que te recomienda el creador del lenguaje entonces estarás a la deriva.

mysql también tiene reglas de seguridad, php, python, perl, etc, todos lo tienen, la unica excepción es .net que trae sus propios filtros no estandarizados y son muy malos pero que mas se iba a esperar de microsoft.

Documentate, anda de a poco, vuelve a aprender php, apoyate mucho de php.net, no todos los blogs o foros tienen la razón.

Saludos.
En línea

Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como pasar estos formatos
Multimedia
amlop 1 2,284 Último mensaje 4 Enero 2008, 22:54 pm
por oscarabel
pasar dvd con menus a cd sin perder la interactividad de estos
Multimedia
eliseoalegre 2 3,327 Último mensaje 30 Junio 2008, 11:51 am
por eliseoalegre
es posible pasar a texto estos codigos???
Dudas Generales
Boxerkill 7 6,063 Último mensaje 27 Diciembre 2010, 16:42 pm
por KrossPock
alguien me podria pasar estos libros :)
Electrónica
tekuxd 0 2,826 Último mensaje 6 Marzo 2010, 18:06 pm
por tekuxd
Ayuda con la suma correcta de estos datos + PHP
PHP
adryan310 2 1,623 Último mensaje 30 Enero 2014, 17:12 pm
por adryan310
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines