elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Probable bug en mi web
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Probable bug en mi web  (Leído 2,738 veces)
Mr.Blue


Desconectado Desconectado

Mensajes: 441



Ver Perfil WWW
Probable bug en mi web
« en: 29 Mayo 2010, 04:59 am »

Citar
JSP 2.0 expression Language - Implicit Objects
This example illustrates some of the implicit objects available in the expression Lanaguage. The following implicit objects are available (not all illustrated here):

    * pageContext - the PageContext object
    * pageScope - a Map that maps page-scoped attribute names to their values
    * requestScope - a Map that maps request-scoped attribute names to their values
    * sessionScope - a Map that maps session-scoped attribute names to their values
    * applicationScope - a Map that maps application-scoped attribute names to their values
    * param - a Map that maps parameter names to a single String parameter value
    * paramValues - a Map that maps parameter names to a String[] of all values for that parameter
    * header - a Map that maps header names to a single String header value
    * headerValues - a Map that maps header names to a String[] of all values for that header
    * initParam - a Map that maps context initialization parameter names to their String parameter value
    * cookie - a Map that maps cookie names to a single Cookie object.

    Change Parameter
    foo =

    EL expression    Result ${param.foo}    <script>alert()</script></A>
    ${param["foo"]}    <script>alert()</script></A>
    ${header["host"]}     x-sons.com.ar:8080
    ${header["accept"]}    text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    ${header["user-agent"]}    Mozilla/5.0 (Windows; U; Windows NT 6.0; es-ES; rv:1.9.1.9) Gecko/20100315 Firefox/3.5.9 (.NET CLR 3.5.30729)

Bueno les comento tengo una web donde me salio un bug. atraves de esto que muestro aca que podria hacer?  
de que manera se puede dejar desabilidada mi web?
o que datos podria obtener de la misma?
-------------------------------------------------------------------------------------------------

Por otro lado. que medidas deberia tomar para evitar o arreglar este bug


Vale aclarar que si no me equivoco el bug es por medio de xss (cross-site scripting)
de antemano gracias!
« Última modificación: 29 Mayo 2010, 05:02 am por eeprom46 » En línea

Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: Probable bug en mi web
« Respuesta #1 en: 29 Mayo 2010, 05:18 am »

http://www.webmasters.org.mx/forosweb/index.php?s=40994abd0b700820cbc41da328af870a&showtopic=41&pid=201&st=0&#entry201

http://www.cert.org/archive/pdf/cross_site_scripting.pdf

ataques xxs
http://foro.elhacker.net/index.php/topic,67032.0.html

[::Tutorial::] - Ataques XSS
http://foro.elhacker.net/index.php/topic,32042.0.html

Cross Site Scripting
http://www.conocimientosweb.net/dcmt/ficha5310.html

FAQ XSS (Site Cross Scripting), XSS-Ataques
http://www.elhacker.net/Textos1.htm

Lei algo sobre Ataques xsss, pero... tengo una duda...
http://foro.elhacker.net/index.php/topic,66599.0.html

Generate Xss Exploit
http://www.sosvulnerable.net/xss/index.html

hai un buscador para usuarios registrados :-X
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Probable bug en mi web
« Respuesta #2 en: 29 Mayo 2010, 05:19 am »

Bueno si es un XSS, entonces podrías controlarlo así.

En PHP es así.
Código
  1. echo htmlentities($strCadena, ENT_QUOTES);

Asi que en JSP sería así.
Código
  1. content = content.replace("&", "&amp;");
  2. content = content.replace("<", "&lt;");
  3. content = content.replace(">", "&gt;");
  4. content = content.replace("\"", "&quot;");
  5. content = content.replace("'", "&apos;");
En línea

Te vendería mi talento por poder dormir tranquilo.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Probable lanzamiento de Windows 8 en octubre
Noticias
wolfbcn 0 1,495 Último mensaje 12 Enero 2012, 18:05 pm
por wolfbcn
Un exconvicto por fraude y drogas, probable autor de la cinta que incendia al ..
Noticias
wolfbcn 0 1,715 Último mensaje 14 Septiembre 2012, 21:54 pm
por wolfbcn
Es poco probable que España tenga su propio PRISM
Noticias
wolfbcn 0 1,416 Último mensaje 19 Julio 2013, 21:55 pm
por wolfbcn
Probable pc atacado por botnet?
Seguridad
Armandokevin 2 2,251 Último mensaje 19 Enero 2015, 17:52 pm
por Armandokevin
Si has montado tu PC por piezas, es probable que tu RAM vaya más lenta de lo ...
Noticias
wolfbcn 0 1,499 Último mensaje 29 Diciembre 2016, 18:34 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines