[Tutorial] Seguridad web By:Painboy página 2

Foro de elhacker.net

Programación

Desarrollo Web

PHP (Moderador: #!drvy)

[Tutorial] Seguridad web By:Painboy

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: 1 [2]

Autor

Tema: [Tutorial] Seguridad web By:Painboy (Leído 5,134 veces)

PanConMantequilla

Desconectado

Mensajes: 82

Re: [Tutorial] Seguridad web By:Painboy

« Respuesta #10 en: 27 Abril 2009, 03:19 am »

Cita de: janito24 en 26 Abril 2009, 08:00 am

@Rencoroso lo que haces con eso es por ejemplo sí tienes un archivo "index.extensión" lo lea como un servidor leeria un archivo "index.php" osea que en el navegador pondrías "www.tvpágina.com/index.extensión" y se mostraria tú index.php que lo único que tiene de especial es la extensión.

Saludos

Hola, gracias por responderme, y si entiendo a la perfeccion el asunto y como hacerlo, intento hacer lo que dices PERO a pesar de ello no resuelvo mi problema, este es un demo de lo que quiero decirles: DEMO AQUI
fijense en el codigo fuente que muestra el codigo PHP y tampoco muestra el mensaje PHP, como digo "solo muestra HTML"
tambien tengo que decir que cuando agrego al .htaccess el primer codigo no funciona, sino me da la opcion para descargar la pagina:

Citar

AddType application/x-httpd-html .fuck

pero cuando agrego :

Citar

AddType x-httpd-html .fuck

recien puedo ver resultados pero como dije, se puede ver el codigo PHP en el fuente

alguna solucion?? :huh:

2 minutos despues: Ahora estoy realmente confundido, crei que era el codigo

Citar

AddType application/x-httpd-html .fuck

que me permitia la descarga del archivo, pero creo que no es asi, la opcion para descargar noto que sale solo en Internet Explorer y en Mozilla no y no entiendo porque :huh:


« Última modificación: 27 Abril 2009, 03:32 am por Rencoroso »	En línea

Pan con Mantequilla
http://www.youtube.com/watch?v=RPQKj1RldZ8

pana88

Desconectado

Mensajes: 76

Fhacking

Re: [Tutorial] Seguridad web By:Painboy

« Respuesta #11 en: 29 Abril 2009, 12:57 pm »

loco te pasaste este post esta bien bueno .... nos veremos por ahi ... suerte


	En línea

pana88

Desconectado

Mensajes: 76

Fhacking

Re: [Tutorial] Seguridad web By:Painboy

« Respuesta #12 en: 29 Abril 2009, 13:15 pm »

va a aparecer 50.000.000 de veces jeje muy buena compilacion , y bastante bien echo ...saludos


	En línea

дٳ⁪⁪⁪⁪⁪⁪⁪Ŧ٭

GNU/Linux Infrastructure Specialist
Ex-Staff

Desconectado

Mensajes: 5.110

Re: [Tutorial] Seguridad web By:Painboy

« Respuesta #13 en: 6 Mayo 2009, 06:22 am »

Pues le falta no crees?. En nivel 0-10 donde el 10 es el más alto le daría un 7. Yo le agregaría:

Citar

By Azielito

Como todos sabemos podemos poner el archivo de conexion a la base de datos en un archivo, y, entonces mandamos a llamarlo y listo. Ahora bien, que pasa si antes de hacer la conexion limpiamos todas las variables que pasan por GET o POST (o por cookie)? asi tendremos siempre limpias nuestras variables y evitamos ataques XSS y SQLi.

Código

<?php
# Funcion para limpiar caracte-
# res que pudieran comprometer
# al servidor y/o al usuario
function limpia($var){
$var = strip_tags($var);
$malo = array(”\\”,”;”,”\’”,”‘”); // Aqui poner caracteres no permitidos
$i=0;$o=count($malo);
while($i<=$o){
$var = str_replace($malo[$i],”",$var);
$i++;
}
return $var;
}
 
# Funcion que aplica la funcion anterior
# para no tener que preocuparnos por
# ataques de XSS o SQLi
function LimpiarTodo($datos){
if(is_array($datos)){
$datos = array_map(’limpia’,$datos);
}else{
die(”<font color=#ff0000><b>Error:</b></font> La funcion <b>LimpiarTodo</b> debe contener un arreglo.”);
}
return $datos;
}
if($_POST){
$_POST =& LimpiarTodo($_POST);
}
if($_GET){
$_GET =& LimpiarTodo($_GET);
}
 
# FileName=”Connection_php_mysql.htm”
# Type=”MYSQL”
# HTTP=”true”
$hostname_DB = “localhost”; // El host del MySQL
$database_DB = “DataBase”; // Nombre de la base de datos
$username_DB = “usuar10&#8243;; // Usuario con l que te conectas
$password_DB = “th3pas5sz”; // Contraseña ñ_ñ
$serpub = mysql_connect($hostname_DB, $username_DB, $password_DB) or trigger_error(mysql_error(),E_USER_ERROR);
mysql_select_db($database_DB);
?>

Ahora solo nos queda insertar ese archivo cuando hacemos alguna operacion en MySQL y listo! nos olvidamos de limpiar las variables una a una para evitar los ataques antes mencionados.

Para evitar ataques de RFI entonces en esta linea:

Código

$malo = array(”\\”,”;”,”\’”,”‘”); // Aquí poner caracteres no permitidos

Agregamos los dos puntos ( “:” ) y la diagonal ( “/” ) si sabemos que nunca se usaran estos caracteres en los campos de nuestra base de datos quedaría así:

Código

$malo = array(”\\”,”;”,”\’”,”‘”,”:”,”/”); // Aquí poner caracteres no permitidos

y quedamos seguros evitando que nos metan los “caracteres malditos”.

By SMF:

Código

<?php
function addslashes__recursive($var){
if (!is_array($var))
return addslashes($var);
$new_var = array();
foreach ($var as $k => $v)$new_var[addslashes($k)]=addslashes__recursive($v);
return $new_var;
}
$_POST=addslashes__recursive($_POST);
$_GET=addslashes__recursive($_GET);
$_REQUEST=addslashes__recursive($_REQUEST);
$_SERVER=addslashes__recursive($_SERVER);
$_COOKIE=addslashes__recursive($_COOKIE);
?>


	En línea

HardieVon

Desconectado

Mensajes: 181

Programming HardCore

Re: [Tutorial] Seguridad web By:Painboy

« Respuesta #14 en: 8 Mayo 2009, 03:12 am »

en efecto lo que dice el chavo este tiene razón no esta muyy completo.

yo le doy un 4.

le falto y en los htaccess esta muy fumado


	En línea

No es google, Es el google perfecto
USALO !!!, apoyemos el software hispano
AHORA CON BUSCADOR A PHP.NET

Páginas: 1 [2]

Ir a: