elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 [17] 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 ... 62
161  Programación / PHP / Re: LOGIN EN PHP, CERRAR SESION en: 28 Julio 2010, 23:56 pm
Parece que no hayan creado un logout anti-CSRF jamás.

En el login se crea una variable en $_SESSION que se llame token, algo así:

Código
  1. /* Login succesful */
  2. $_SESSION['token'] = md5(sha1(rand(1,100000)); // Por ejemplo
  3.  
Luego, se pone esto como enlace al logout :

Código
  1. <a href="logout.php?token=<?php echo $_SESSION['token']; ?>">Logout </a>
  2.  

Y en logout.php

Código
  1. if ($_SESSION['token'] == $_GET['token'] )
  2. {
  4. }
  5.  

En mi opinión usar la base de datos no es necesario.
162  Seguridad Informática / Nivel Web / Re: Duda sobre procedimiento cuando buscamos vulns web en: 28 Julio 2010, 23:12 pm
porque te descarga directamente toda la jerarquía de directorios de modo que lo puedas ver con el explorador de archivos de una manera más sencilla.
163  Foros Generales / Foro Libre / Re: puedes leer esto sin dificultad ??? en: 28 Julio 2010, 21:12 pm
Cita de: MinusFour en 28 Julio 2010, 20:42 pm
Pues la gente podrá leerlo sin problemas pero yo lo veo y mis ojos literalmente se tropiezan.
+0.5
164  Seguridad Informática / Nivel Web / Re: Duda sobre procedimiento cuando buscamos vulns web en: 28 Julio 2010, 21:09 pm
Otra cosa útil es usar :
Código:
wget -r http://web.com
Que te descarga todos los archivos de la web (que estén enlazados en alguna parte de la web accesible) y así puedes observar como van los directorios.
165  Seguridad Informática / Nivel Web / Re: Duda sobre procedimiento cuando buscamos vulns web en: 28 Julio 2010, 17:08 pm
Que no suelen estar en utf-7 para facilitarte este tipo de bypass del filtro.
166  Seguridad Informática / Nivel Web / Re: Duda sobre procedimiento cuando buscamos vulns web en: 28 Julio 2010, 16:20 pm
En ese caso me parece que es un filtro en plan htmlentities() y se podía saltar dependiendo de que codificación fuera. En el caso de que fuera utf-7 podrías mandar la siguiente cadena :
Código:
+ADw-script+AD4-alert(/XSS/)+ADsAPA-/script+AD4-
y te devolvería el alert(/XSS/) , pero no creo que sea muy común eso.
167  Seguridad Informática / Nivel Web / Re: Duda sobre procedimiento cuando buscamos vulns web en: 28 Julio 2010, 15:46 pm
1)
  Para saber eso puedes encontrar las variables por medio de inputs, aunque muchas veces te puedes encontrar enlaces así
Código:
 http://host/index.php?id=21
Y ahí puedes probar con los típicos payloads de lo que quieras buscar. Los XSS más fáciles de encontrar están en las típicas cajas de búsqueda.

2)
 Yo personalmente no recomiendo los escaners ni por aprendizaje ni por eficacia ya que dan muchos falsos positivos.

3)
 Primero puedes inyectar los payloads más típicos y ver como se comporta la aplicación dependiendo como filtre los carácteres, a partir de ahí puedes seguir investigando que puedes hacer.

Lo de saltar  magic quotes depende de como estén puestas, de todas formas si solo filtra las quotes no protege nada ya que puedes inyectar algo así :
Código:
 <script>alert(/HOLA/);</script>
o
Código:
location = string.fromCharCode(numeros ascii de los caracteres) ;
4)
 Si no encuentras otra forma es bastante útil.

5)
Yo nunca lo he intentado, pero si no tienes más remedio...
168  Foros Generales / Foro Libre / Re: ¿Soñar que estas programando o haciendo algo en el pc? ¿adicción? en: 28 Julio 2010, 00:42 am
Cita de: Zazú en 27 Julio 2010, 21:59 pm
Cita de: braulio-- en 27 Julio 2010, 13:01 pm
Yo una vez soñé que iba a una especie de "bar de webshells" con mi familia y me pedía una C99.
Fue bastante raro.


Hola me das una c57?

jajajajajaja, por que no te la codeaste vos?  :silbar:
de hecho ,en el suenio le decía a mi padre que la c57 (creo que no se llamaba así pero bueno) era una shell que no me gustaba nada y no se la recomende.
 Me desperté pensando en wtf obviamente xD
169  Foros Generales / Foro Libre / Re: ¿Soñar que estas programando o haciendo algo en el pc? ¿adicción? en: 27 Julio 2010, 13:01 pm
Yo una vez soñé que iba a una especie de "bar de webshells" con mi familia y me pedía una C99.
Fue bastante raro.
170  Foros Generales / Foro Libre / Re: Si mañana fuera el fin del mundo, yo, todavía hoy plantaría un árbol. en: 26 Julio 2010, 19:46 pm
Cita de: D4N93R en 26 Julio 2010, 15:01 pm
Para los que dicen que todo acaba cuando se mueren, pues entonces por qué no mejor no tienen hijos y se olvidan de su familia, ya que igual algún día moriremos primero que ellos y ya dejarán de existir (no plantar el árbol).  :P

El mundo sigue existiendo aún y cuando estemos muertos, ya que todo, la tecnología, los idiomas, el planeta, son el resultado del pasar del tiempo, que no ha dejado de existir. Yo entiendo su punto de vista del observador pero no aplica en ese caso ya que obviamente todo sigue aún y cuando estemas muertos.

Cita de: La Muertع Blancα en 26 Julio 2010, 10:21 am
Si mañana fuera el fin del mundo, me tiraría en paracaidas  ;-)

Pero lo abres o no? xD

En cuanto a que todo sigue, lo siento, pero no puedes demostrarlo.
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 [17] 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 ... 62
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines