elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  protegerse de html injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: protegerse de html injection  (Leído 3,418 veces)
Kase


Desconectado Desconectado

Mensajes: 1.288


programa bonito ¬¬


Ver Perfil WWW
protegerse de html injection
« en: 23 Abril 2011, 19:31 pm »

no me abia percatado que una de mis paginas tenia html injection..
era un concepto que avia olvidado, y hoy lo recorde

y me ise un deface con un javascript redireccionando..


ahora la duda es como   me protejo???

el problema es que hay ciertos texfields que necesito que reconoscan   un poco de html
como los  h1,2,3,4,5  center, strike, strong,  y lo basico para dar formato x]
En línea

Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: protegerse de html injection
« Respuesta #1 en: 23 Abril 2011, 21:10 pm »

con htmlentities podes hacer que los comentarios se vean los etiquetas como <> pero en el codigo fuente salgan asi re locas como ;gt ;lt y asi tende
si no tmb tene otras funciones como html norecuerdoqmas xDDD
En línea

Kase


Desconectado Desconectado

Mensajes: 1.288


programa bonito ¬¬


Ver Perfil WWW
Re: protegerse de html injection
« Respuesta #2 en: 24 Abril 2011, 00:10 am »

pero eso cambiaria todo mi texto, y necesito dar la oportunidad de que pongan html...

no se que cosas peligrosas se puede hacer con html, pero con javascript un redireccionador ya te fastidia mucho =/

no puede hacerse un,
 desactiva javascript apartir de aki
 activa javascript apartit de aki?


 :silbar:
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.606


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: protegerse de html injection
« Respuesta #3 en: 24 Abril 2011, 01:07 am »

cómo está hecho ese código??, de todas formas es muy dificil permitir html sin que te hackeen, para eso existe el bbcode, acs, phpids, etc.

http://es.wikipedia.org/wiki/BBCode
http://secinn.appspot.com/pstzine/read?issue=4&articleid=8
http://phpids.org/
http://htmlpurifier.org/

Te recomiendo el bbcode y todo lo proceses en htmlspecialchars con ENT_QUOTES.

dale un vistazo al código fuente al foro de simplemachines y verás como implementarlo.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
html/asp/php injection
Nivel Web
krispin 4 4,099 Último mensaje 16 Febrero 2005, 08:37 am
por 4D1cTo
Html Injection « 1 2 3 »
Nivel Web
WebStar 25 19,661 Último mensaje 7 Enero 2008, 19:50 pm
por Sha0
Html/javascript Injection
Nivel Web
Dacan 2 5,321 Último mensaje 17 Marzo 2011, 13:49 pm
por Castg!
soluciones simples al injection html y al cros site script
PHP
Kase 4 4,017 Último mensaje 20 Julio 2011, 07:28 am
por WHK
HTML injection (Ataque y Defensa) [Practico]
Nivel Web
2Fac3R 2 6,596 Último mensaje 22 Noviembre 2011, 16:43 pm
por Pablo Videla
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines