|
Título: Es posible subir shell mediante inyección html? Publicado por: Servia en 8 Mayo 2010, 22:48 pm Hola,
haciendo pruebas he visto que mi sitio no filtra los tags htm, se podría haber subido una shell de algún modo? Título: Re: Es posible subir shell mediante inyección html? Publicado por: WHK en 9 Mayo 2010, 00:10 am no se puede subir una shell via XSS solamente.
http://foro.elhacker.net/nivel_web/diccionario_informatico_sobre_bugs_y_exploits_en_nivel_web_v10-t264007.0.html Título: Re: Es posible subir shell mediante inyección html? Publicado por: winroot en 9 Mayo 2010, 00:15 am hola,
si no haces cosas raras como usar un eval en un post/get, no hay problema. la otra forma, es que si un atacante obtiene tu cookie, y estas como admin, podra entrar como si fuera tu, y hacer lo que quiera. pero, creo que otras formas de mandar un shell explotando un xss no hay. asique, si alguien no tiene tu cookie, no creo que se pueda. saludos Título: Re: Es posible subir shell mediante inyección html? Publicado por: Servia en 9 Mayo 2010, 08:24 am Gracias, por donde me la podrían haber colado?
Seguro que tengo más errores pero no se como buscarlos. Título: Re: Es posible subir shell mediante inyección html? Publicado por: cgvwzq en 9 Mayo 2010, 11:19 am Pues lo más probable es mediante un uploader. Hay que revisar el tipo de archivo que suben los amigos. Y aunque lo filtres medio bién, si te cuelan una imagen con código php de por medio, podrán ejecutarlo mediante un LFI...
Y la otra es que se mediante un RFI. No hay que meter parámetros del usuario directamente en una función include. Así que revisa el uploader (si tienes) y los includes. ;)) Título: Re: Es posible subir shell mediante inyección html? Publicado por: Servia en 9 Mayo 2010, 11:45 am Nunca hago includes del tipo include($archivo); ni tengo uploader, siempre obligo a que pongan si acaso la URL de una img :(
|