elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Saber si mi script es vulnerable
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: Saber si mi script es vulnerable  (Leído 9,503 veces)
Hans el Topo


Desconectado Desconectado

Mensajes: 1.754


"Estoy cansado de no hacer nada"


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #20 en: 29 Abril 2007, 13:15 pm »

como te he dicho no hace falta ni logearse para entrar a tu zona restringida xD

y una vez ahi se puede inyectar código al insertar noticias y tal, por no mencionar que se puede como has dicho borrar todas las noticias de la base de datos xD

eso es una lamerada ... xD


recomendación, comprobar los datos de la sessión antes de utilizarlos, y hacer la comprobación doble que el user y el pass sean buenos (en todas las zonas en las que quieras meter seguridad) te haces una función que haga todo eso y listo

lo de seguridad y tal en las consultas y subidas de archivos...
yo creo que te pueden hacer de todo, por ejemplo:
si alguien logra entrar, sube un achivo y le mete una url en la noticia todo el que entre y la clique mismamente, quedaría infectado... y eso es lo primero que se me ha ocurrido

asi que filtra las subidas (k son un par de ifs)

a mi por de pronto no se me ocurre nada más que comentarte






En línea

Rudy21

Desconectado Desconectado

Mensajes: 154


Rudy21 Web Design


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #21 en: 29 Abril 2007, 20:02 pm »

Me podrias dar un EJEMPLO de como entrar?? creas una session falso desde tu host oq eu haces??

lo que haré es meter en el CONFIG.php que verifique el USER y El PASS

y en entrar.php tmb meteré el pass en una variabeld e session


Salu2

Ya estóy metiendo el CAPTCHA


En línea


Hans el Topo


Desconectado Desconectado

Mensajes: 1.754


"Estoy cansado de no hacer nada"


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #22 en: 29 Abril 2007, 23:45 pm »

busca por el foro k hay manuales para hacer inyección sql y otro tipo de ataques, para editar las sesiones y tal depende del navegador...
En línea

Rudy21

Desconectado Desconectado

Mensajes: 154


Rudy21 Web Design


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #23 en: 30 Abril 2007, 00:15 am »

jajaj okas


:-X :o :¬¬


no me gustó nada tu firma xD



salu2
En línea


Rudy21

Desconectado Desconectado

Mensajes: 154


Rudy21 Web Design


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #24 en: 1 Mayo 2007, 00:57 am »

Ya está puesto el verifica.php

en vez de uqe verifique si el user no es ''

kite eso code e hice incldue a verifica.php

y hasta ahora está funcionando bien

Código:
<?php
//Usuario 1
$us = $_SESSION['Username'];
$ps = $_SESSION['Password'];
 if($us !== $Usuario1 && $ps !== $Password1)
  {
  echo '<meta http-equiv="refresh" content="0;URL=http://www.dominicanhack.net/sistema_noticia/salir.php?doLogout=true" />
';
    }
 elseif($us == $Usuario1 && $ps !== $Password1)
  {
  echo '<meta http-equiv="refresh" content="0;URL=http://www.dominican.com/sistema_noticia/salir.php?doLogout=true" />
';
  }
?>
<?php
//Usuario 2
// lo mismo pero es para no metér tanto code xD
?>
En línea


Hans el Topo


Desconectado Desconectado

Mensajes: 1.754


"Estoy cansado de no hacer nada"


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #25 en: 1 Mayo 2007, 14:53 pm »

Ya está puesto el verifica.php

en vez de uqe verifique si el user no es ''

kite eso code e hice incldue a verifica.php

y hasta ahora está funcionando bien



no entiendo lo que haces en el code

Código:
<?php
//Usuario 1
$us = $_SESSION['Username'];
$ps = $_SESSION['Password'];
 if($us !== $Usuario1 || $ps !== $Password1)
  {
  echo '<meta http-equiv="refresh" content="0;URL=http://www.dominicanhack.net/sistema_noticia/salir.php?doLogout=true" />
';
  }
?>
<?php
//Usuario 2
// lo mismo pero es para no metér tanto code xD
?>

yo creo que sería de ese modo... con un or, si la pass o el usuario no son iguales pafuera
En línea

Rudy21

Desconectado Desconectado

Mensajes: 154


Rudy21 Web Design


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #26 en: 2 Mayo 2007, 00:53 am »

jejej ok

explico
al entra.php hice que tmb metiera el PASS en uan variable de session (que no se llama PASSWORD porke si no darian un echo $_SESSION['PASSWORD'] y se harian del PASS
se llama SECRETITOSCOM(PUSE PASSWORD en el code para que entiendan)

pongo el include a verifica debajo del include del config.php donde está el USER y PASS del sistema

entonces en cada pagina antes de cargar verifica si el password y usuario que está en la variable de sesion es el mismo que en el config.php

asi ya no me hacen inyeccion con una session falsa ya que ya no verifica si el usuario no es = a "" como me mencionaban en POST anteriores

el primero if
Código:
if($us !== $Usuario1 && $ps !== $Password1)

verifica que el USER y el PASS corresponda SI NO actualiza la pagina que hace LOGOUT y destruye las sesiones

el segundo if
Código:
elseif($us == $Usuario1 && $ps !== $Password1)

verifica si el USUARIO que hay en la session corresponde al PASS de ese usuario (por si le atinaron al USER, pero no saben el pass xD)

y sino = les hace LOGOUT

tmb se podria hacer como tu dices en vez de AND un OR


si no dime que parte del code no entiendes
« Última modificación: 2 Mayo 2007, 00:58 am por Rudy21 » En línea


Tasc0

Desconectado Desconectado

Mensajes: 255


Argentina


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #27 en: 2 Mayo 2007, 01:39 am »

Off topic:
Rudy21, chequea tus mensajes privados.
En línea

Hans el Topo


Desconectado Desconectado

Mensajes: 1.754


"Estoy cansado de no hacer nada"


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #28 en: 2 Mayo 2007, 20:06 pm »

no entendía para que ponías el and teniendo el or xD

nada más xD
En línea

Rudy21

Desconectado Desconectado

Mensajes: 154


Rudy21 Web Design


Ver Perfil WWW
Re: Saber si mi script es vulnerable
« Respuesta #29 en: 3 Mayo 2007, 01:02 am »

SIp ya lo kambie jejeje


Tasc0

ya lo lei jiji sorry haber si te encuentro por messenger :)


Salu2
En línea


Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Script para saber si una MAC se comunica con migo
Scripting
Arnau27 1 2,881 Último mensaje 1 Julio 2011, 15:11 pm
por SuperDraco
Cómo saber si tu Linux es vulnerable a los fallos de seguridad Meltdown y ....
Noticias
wolfbcn 0 2,098 Último mensaje 11 Enero 2018, 02:13 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines