|
Título: Pedido de hackeo a mi web de pruebas Publicado por: Manulobo22 en 5 Julio 2016, 23:06 pm Hola estimados, primero que nada mil disculpas si esto no va aca, por favor acomodenlo en el lugar correspondiente.
El tema es el siguiente, tengo que hacer una pagina web para la facultad, la tematica es de hospedajes, hospedadores y hospedados. Un usuario puede crear hospedajes, y otros usuario pueden solicitar alojamiento en ese hospedaje, algo simple, pero con varias funciones, como panel de administrador, login y regitro, recuperar password, entre varias otras cosas. La web la hice con PHP desde 0, sin ningun tipo de framework por lo que me gustaria ver si programe bien y me tome todos los recaudos con respecto a la seguridad de la misma. Corrí programas que buscan vulnerabilidades y no detecto ninguna, pero no se mucho de esto asi que se los dejo en manos del que quiera y sepa para que detecte alguna vulnerabilidad y la comente asi de paso aprendemos todos. La demo online es: www.purolobo.skn1.com. Saludos y gracias ! Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: jalbtercero en 10 Julio 2016, 14:01 pm Bueno no soy experimentado en esto pero puedo decirte que la pagina esta bastante bien, los requerimientos de las contraseñas son completos, no esta nada mal y ademas el tipico 'or '1'='1 no cuela asi que vas bien, pero claro eso ees muy basico. Alguien que sepa mas que yo dudo mucho que le costara demasiado. Yo cometi ese error en mi pagina y con el 'or '1'='1 podiads pasar el usuario y la contraseña. Saludos
Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: Manulobo22 en 10 Julio 2016, 17:06 pm Bueno no soy experimentado en esto pero puedo decirte que la pagina esta bastante bien, los requerimientos de las contraseñas son completos, no esta nada mal y ademas el tipico 'or '1'='1 no cuela asi que vas bien, pero claro eso ees muy basico. Alguien que sepa mas que yo dudo mucho que le costara demasiado. Yo cometi ese error en mi pagina y con el 'or '1'='1 podiads pasar el usuario y la contraseña. Saludos Muchas gracias por tu tiempo ! Y si, ese es el error mas comun que se comete, me ha pasado :) Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: AlbertoBSD en 10 Julio 2016, 18:35 pm Estoy tratando de responderte con una respuesta mas larga pero el foro no me deja publicarla.
La pregunta es si sanitizas el campo "p" que generas desde el javascript ya que le mando una petición y no recibo los clásicos errores que muestras en la pagina, lo que recibo es la pagina completa y hasta el final un mensaje de: Código: HTTP/1.1 400 Bad Request Saludos! Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: Manulobo22 en 11 Julio 2016, 03:01 am Estoy tratando de responderte con una respuesta mas larga pero el foro no me deja publicarla. La pregunta es si sanitizas el campo "p" que generas desde el javascript ya que le mando una petición y no recibo los clásicos errores que muestras en la pagina, lo que recibo es la pagina completa y hasta el final un mensaje de: Código: HTTP/1.1 400 Bad Request Saludos! Estimado Alberto, si, lo que hago es un FILTER_SANITIZE_STRING. Esta mal que aparezca un HTTP/1.1 400 Bad Request ? Gracias por tu tiempo ! Nos estamos hablando. Saludos ! Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: AlbertoBSD en 11 Julio 2016, 03:19 am No se si tu imprimiste ese Error con header, pero creo que si lo haces de forma manual.
El detalle es que mando la peticion POST manualmentre desde netcat y Recibo el HTTP/1.1 200 y toda la pagina web completa, y al final de la pagina aparece ese header 400. Entonces si vas a mandar un header 400 asegúrate que sea si y solo si, no has mandado texto normal antes, debe de ser excluyente o mandas error o mandas la pagina. Saludos! Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: Manulobo22 en 11 Julio 2016, 03:24 am No se si tu imprimiste ese Error con header, pero creo que si lo haces de forma manual. El detalle es que mando la peticion POST manualmentre desde netcat y Recibo el HTTP/1.1 200 y toda la pagina web completa, y al final de la pagina aparece ese header 400. Entonces si vas a mandar un header 400 asegúrate que sea si y solo si, no has mandado texto normal antes, debe de ser excluyente o mandas error o mandas la pagina. Saludos! Alberto, no mando nunca un header. Que raro, veré que puede ser. Saludos y gracias ! Título: Re: Pedido de hackeo a mi web de pruebas Publicado por: AlbertoBSD en 11 Julio 2016, 03:40 am La peticion get que mando es:
Código: POST /login/ HTTP/1.1 Saludos! |