Foro de elhacker.net

Hola a todos como estan , soy nuevo en el foro, me estoy iniciando en la programacion php!

Actualmente estoy creando una web de pruebas para ir adquiriendo conocimientos de PHP.

Y quiero comenzar por la seguridad.

Actualmente la web cuenta con un formulario de registro y un login, y el motivo del siguiente post es para retarlos a que hagan  distintos tipos de injecciones a mi web  y decirme cuales funcionan, cuales no,  el nivel de seguridad y sugerencias.


Espero que nos llevemos bien, solo quiero aprender php y estoy comenzando como cualquiera :).

Web: http://test.vznetwork.net

"Obtengan mi ID y Password de esa web".

Feliz tarde!

Pues no se de seguridad pero... yo te recomiendo que la validación de campos la hagas con jQuery o de perdida con javascript, ya que si no completas correctamente el formulario te marca error y tienes que volver a cargar los campos xD

También le faltan los index.html en cada carpeta, como la del CSS: http://test.vznetwork.net/css/

lo del index en cada carpeta esta demas ya que existen otras maneras de restringir el accseso pero creo que no leistes bien el mensaje.

lo que quiero saber es si pueden hacer un injeccion y de ser asi hacerla.

de todas formas gracias por tu comentario tienes razon! saludos.

No quisiera gastar mi tiempo buscando, quizás si pusieras el código sería mejor... :/

Por un error se que tu página está en c appserv test

http://test.vznetwork.net/index.php?op=logout eso está mal, te puedo cerrar tu cuenta sin que sepas como solo siendo megah4x0r hasta con una imagen.

Sin en código me da paja ver algo más

Aps http://test.vznetwork.net/index.php?op=member xD

Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos

Y quita los respaldos de tu smf http://vznetwork.net/index.php~

Gracias por lo del SMF amigo.

pero bueno la pregunta del millon puedes injectar a la DB?

usando el formulario de registro y login?

como ya les explique es un test para probar si pueden injectarse atraves del formulario registro y login.

al amigo que pidio el codigo, se supone que la parte del reto es descubrir los puntos debiles de la pagina y explicarlos.

sin embargo gracias por las sugerencias las tomare en cuenta mas adelante saludos.

Con el código es más fácil ayudarte. Yo me metí a jugar desde el celular no más pero no le dedicaria más tiempo tampoco xD

Te acordas janito? http://skydrive.cl/wp-includes/js/

De hecho: http://skydrive.cl/wp-includes/theme.php

Seeh lo se, tengo 2 xss también, uno de ellos es persistente así que si lo encuentras se bloquea la página completa y queda mandando a google ñ_ñ

Hay varios más castg sigue buscando. XD

Bienvenido stivenx, aunque no entiendo porque no mejor poner el codigo del form de login y tales que mencionas asi mismo podriamos mas facil ayudar a hacer mejor la proteccion antisql, y si lo se esque sea un reto pero no seria mas rapido y eficiente si lo vemos directamente ?

P.D. Bienvenido de nuevo al foro n_n, ahi aveces juego VzGunZ.

estoy convencido que deber haber algun script "on the wild" que te compruebe para cada archivo visible (por ejemplo @ google hacking) si existe su respaldo en el servidor...

alguien lo tiene o toca ronda de python?

thanks!