elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Html Injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Html Injection  (Leído 16,467 veces)
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.023


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Html Injection
« Respuesta #10 en: 23 Noviembre 2007, 23:28 pm »

OzX: http://es.wikipedia.org/wiki/XSS
Estas confundiendo XSS persistente (o directo), o XSS reflejado (o indirecto).

Saludos!!
En línea

~[uNd3rc0d3]~

Desconectado Desconectado

Mensajes: 188


programando...


Ver Perfil
Re: Html Injection
« Respuesta #11 en: 23 Noviembre 2007, 23:56 pm »

<h1> hola como va??

<h1> hola como va??

no ves que el ya lo habia hecho??

hola como va??

sip el foro es sensible a los codigos BBC (o algo asi)

pero de ahi a html falta mucho

En línea


leete las reglas asi todos estamos mejor ;)
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.023


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: Html Injection
« Respuesta #12 en: 24 Noviembre 2007, 02:34 am »

riva, de hecho el BBCode se transforma en HTML xD, pero bueno.. esto como que se esta desviando del tema jajaja
En línea

-sagitari-


Desconectado Desconectado

Mensajes: 1.643


:D


Ver Perfil WWW
Re: Html Injection
« Respuesta #13 en: 24 Noviembre 2007, 12:44 pm »

Las inyecciones HTML desde mi punto de vista cada vez son menos factibles.
Y son muy pocas las webs ya sean libros de visitas, foros.. etc. que tienen el HTML permitido.. y en el caso de que lo tengan el "HTML ON" solamente permite códigos que no sean maliciosos.. como poner en negrita, etc, no permitirían hacer redirecciones , poner alerts, frames... etc.

Pero siempre siguen habiendo webs que no filtran códigos HTML ....


Saludos.
En línea

OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: Html Injection
« Respuesta #14 en: 24 Noviembre 2007, 23:46 pm »

OzX: http://es.wikipedia.org/wiki/XSS
Estas confundiendo XSS persistente (o directo), o XSS reflejado (o indirecto).

Saludos!!

si sabia q me faltaba algo xD¡
jejeje xD' la verdad no tenia ni la mas remota idea  :o..

thanx¡  sirdarckcat ¡ Saludos¡

a leer a leer  :-[
En línea

Undersecurity.net
~[uNd3rc0d3]~

Desconectado Desconectado

Mensajes: 188


programando...


Ver Perfil
Re: Html Injection
« Respuesta #15 en: 25 Noviembre 2007, 00:52 am »

riva, de hecho el BBCode se transforma en HTML xD, pero bueno.. esto como que se esta desviando del tema jajaja

perdon, me referia a injectar html  ;)

En línea


leete las reglas asi todos estamos mejor ;)
_mÙëK§™_


Desconectado Desconectado

Mensajes: 559


Just me in a macro world


Ver Perfil
Re: Html Injection
« Respuesta #16 en: 2 Diciembre 2007, 07:45 am »

ps  a mi parecer HTML injection y XSS es lo mismo, inyectas codigo, pero bueno... :rolleyes:

Inyectar HTML???? años sin ver un foro que permita mas haya de BBCode...pero bueno...

Salu2
En línea

~[uNd3rc0d3]~

Desconectado Desconectado

Mensajes: 188


programando...


Ver Perfil
Re: Html Injection
« Respuesta #17 en: 5 Diciembre 2007, 00:30 am »

ps  a mi parecer HTML injection y XSS es lo mismo, inyectas codigo, pero bueno... :rolleyes:

Inyectar HTML???? años sin ver un foro que permita mas haya de BBCode...pero bueno...

Salu2
hay muchisimas webs de noticias de ciudades que no son grandes que tienen un buscador

y en esos buscadores podes mete de todo  :D
En línea


leete las reglas asi todos estamos mejor ;)
rdzlcs


Desconectado Desconectado

Mensajes: 781


El cerebro, la experiencia y una pizca de suerte.


Ver Perfil
Re: Html Injection
« Respuesta #18 en: 6 Diciembre 2007, 22:07 pm »

Hola amigos, con eso yo puedo hacer lo que quiero en la pagina no?
Guau que copado jejeje por ej

Código:
<script>
  document.documentElement.innerHTML="ActiveSheet";
</script>

Yo con eso podria borra todo no? Hay no, que bueno che jejje re maldito, pero no me gusta hacer eso....

Chau suerte
En línea

Navegando en un mar de unos y ceros. Saltando de capa en capa por un modelo que lejos de ser seguro, nos da la libertad de Ser y No Ser.
OzX


Desconectado Desconectado

Mensajes: 406

[NuKe] Team


Ver Perfil WWW
Re: Html Injection
« Respuesta #19 en: 8 Diciembre 2007, 21:10 pm »

un mini peke tuto q hize en otra comunidad para entender mejor las html injections.
 :xD como os digo siempre, si alguien sabe k me ekivoke en algo avisarme , para corregirlo :=).

Saludos¡


Las Html Injection, es un fallo muy comun en los programadores, que no tienen mucha referencia de las malas intenciones de los usuarios, ellos simplemente hacen que funcione- Pero no se fijan en la Seguridad.

Filtros Php para no Interpretar Codigo Html y Dejarlo en Texto Plano.

Código:
htmlentities

Veremos Primero un Caso Vulnerable y Luego como Solucionarlo.

Anexo:
Para Poder Entender el Codigo es Necesario lo Basico de Html, y los tipos de Envio de las Cabezeras Http, Get, Post.


Ej Real:

- Creamos un Formulario Tipico Vulnerable:

Código:
<HTML>
<BODY>
<FORM METHOD="post" ACTION="resive.php">
<p align="center">&nbsp;</p>
<p align="center"><strong>Injeccion Html By OzX [New-Bytes/NuKe] </strong></p>
<p align="center">
  <input type="text" name="nombre" size="30" value="Ingresa Tu Codigo Html">
</p>
<p align="center">
  <input type="submit" value="Enviar" name="enviar">
</p>
</FORM>
</BODY>
<HTML>

- Resive.Php

Código:
<html>
<body>
<center>
<?
echo  $_POST['nombre'] ."<br>";
echo "<a href='index.php'>volver</a>"
?>
</center>
</body>
</html>

- Resultado:




- Ahora Ingresamos un Codigo Html.
Código:
<center><br><br><br><font size=10>OZX INJECCIONES HTML</font></center>

- Resultado:



- Porque Pasa Esto?

- Podriamos Decir que El formulario Antes Posteado (codigo) Tiene por Defecto habilitado Html, por lo Cual hay que decirle que no Permita Codigos Html, y Que estos Sean Transformados en Texto Plano, Mas bien "Convertir" el Codigo en Texto Plano.
Sin Su Interpretacion en Html.

- Entonces Si este fuese Un Libro de Visitas , en donde registre toda esta informacion en una base de datos, y esta luego sea llamada, los codigos, van a ser "interpretadoS" y la Injeccion Html Tendra Efecto.


Ahora veamos como Solucionarlo.

Index.php = Donde esta el Formulario
Resive.php = Donde Llegan los Datos y Son Mostrados.


Editamos Resive.php y Editamos y Agregamos lo Siguiente:

Código:
<html>
<body>
 <? $codigo=htmlentities($_POST['nombre']); //ANTI HTML INJECTIONS?>
<center>

<?
echo "<b>Sin htmlentities</b>: ". $_POST['nombre'] ."<br>";
echo "<b>Con htmlentities</b>: "."$codigo";
echo "<a href='index.php'><br>volver</a>"
?>
</center>
</body>
</html>

Explicacion:

- <?   $codigo=htmlentities($_POST['nombre']); //ANTI HTML INJECTIONS?>

- Con htmlentities, Dejamos toda La informacion Introducida en el Formulario, en Texto Plano, Asi no Tendra ningun Efecto en la Pagina.

Luego:

echo "<b>Sin htmlentities</b>: ". $_POST['nombre'] ."<br>";l

- Aqui Mostramos Directamente sin el Filtro HtmlEntities, y Asi El Codigo Htm Sera Interpretado en la Plataforma del Navegador.

Siguiente Linea:

echo "<b>Con htmlentities</b>: "."$codigo";

- Aqui se Aplica el Filtro, y Llamamos a la Variable Codigo, que tiene el Filtro Incorporado.


- Resultado:



By OzX
« Última modificación: 9 Diciembre 2007, 21:16 pm por OzX » En línea

Undersecurity.net
Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Html/javascript Injection
Nivel Web
Dacan 2 4,473 Último mensaje 17 Marzo 2011, 13:49 pm
por Castg!
protegerse de html injection
Nivel Web
Kase 3 2,527 Último mensaje 24 Abril 2011, 01:07 am
por WHK
soluciones simples al injection html y al cros site script
PHP
Kase 4 3,087 Último mensaje 20 Julio 2011, 07:28 am
por WHK
HTML injection (Ataque y Defensa) [Practico]
Nivel Web
2Fac3R 2 5,358 Último mensaje 22 Noviembre 2011, 16:43 pm
por Pablo Videla
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines