Hola que tal comunidad,

Tengo una pregunta para ver si me podéis ayudar, lo que pretendo es poner una barrera a un archivo que se intenta subir a una web por medio de un input file. He investigado sobre los bypass uploads que existen y todo eso y llego a la conclusión que la mejor opción es hacer uso de la función getimagesize() lo cual retorna un vector entre el cual podemos analizar el tipo de mime que se esta subiendo.

Pero mi pregunta viene que eso en realidad se puede bypassear no? es decir si se incrusta una shell abriendo el binario(jpg) se seguirá conservando el tipo e mime no? de no ser asi que me proponéis para que no se puedan subir archivos que vengan con un regalito embebido?

Un saludo

Hola otra vez
Vale ya entiendo...como si fuera un RFI normal de toda la vida, pensaba que se podría incluir archivos locales como por ejemplo con el ataque LFI típico ../../../etc/passwd pero con un archivo que tenia en el mismo directorio(en este caso un archivo txt).

Saludos!

Por eso digo que es totalmente desaconsejado utilizar la instrucción goto, ya que puse solo uno de los motivos por los que no hay que acostumbrarse a utilizarlo.

Todos los que hemos estudiado programación sabemos que hay que evitar utilizar esa instrucción por x motivos entre ellos los que menciona Orubatosu de que raramente en una empresa seras el único en trastear el código fuente o por si en un futuro sera alguien el que se ara cargo, es aun dándoselo medio mascado con comentarios y con una buena costumbre de programación aun se le atraganta a mas de uno.

Haciendo uso de esa instrucción es una forma rápida de acceder a etiqueta que especifiques, no es cuestión de rapidez sino de como internamente trabaja. Te invito que a tu programa lo pases por un debugger. ves creando br(breakpoint) en la salida de cada instrucción goto y observa la ejecución sentencia por sentencia hasta que finalice el programa veras de lo que te hablo

Te pongo por ejemplo lo que se menciona del código espageti, mira si haces un salto incondicional hacia una etiqueta estas rompiendo por completo lo que es la ejecución normal de cualquier programa estructurado ya que una vez se haya ejecutado el bloque de la etiqueta tienes que especificar de manera explicita por donde debería seguir la ejecución de la aplicación. Y para eso ya están las funciones

Un saludo!

Hola sabeeee,

Mira hacer uso de goto esta totalmente desaconsejado ya que crea muy mal abito y rompe por completo lo que es la programación estructurada, ahora por ejemplo no lo veras pero si analizar tu código o lo  depuras lo entenderás mucho mas fácilmente, ya que puede darse el caso que instrucciones nunca se lleguen a ejecutar cosa que va en contra de los fundamentos de la programación estructurada como bien describió Dijkstra.

Si quieres saber mas de por que no utilizar esta instrucción te aconsejo que leas sobre programación espagueti.

Espero haberte ayudado, un saludo!

Por lo que entiendo y las pruebas que he realizado es lo siguiente:

htmlspecialchars(): Este método me va a mantener todos los tags que el usuario introduzca junto al texto, pero este texto no cogerá formato cuando lo muestre por pantalla, así como el javascript.

htmlentities() : Este método tiene como finalidad no escapar los tags, directamente lo que hace es suprimirlos, con lo que el código HTML/javascript que el usuario introduzca no se mantendrá.

addslashes() : Este método tiene como finalidad suprimir todos las comillas dobles y simples(',"). Pero tengo entendido que se pueden saltar fácilmente haciendo su equivalencia en otro tipo de codificación como por ejemplo el código ASCII.

MAGIC_QUOTES : Activar esta directiva en el servidor tengo entendido que es totalmente des aconsejable por el mismo motivo que antes visto con el método addslashes().

Se me escapa algo?

Espero vuestra respuesta, saludos!

Hola T. Collins,

Con allow_url_include no puedes usar %00, pero sí poner urls y ejecutar php ajeno, así es fácil ver archivo.txt

En que caso puedo utilizar el famoso null byte? o esta fixeado desde la versión PHP 5.3.4 como dice Shell Root, esta ya obsoleto o no? Respecto a lo de ver el fichero.txt no se si te refieres a poner --> http://localhost/r/text.txt  pero eso no es ejecutarlo directamente sin pasar por el include?

Si tienes algún problema con el .php del final, con poner un ?, el resto se ignora:

http://ejemplo.com/ejemplo.txt? quedaría http://ejemplo.com/ejemplo.txt?.php y se ejecuta el código que hay en ejemplo.txt

El ejemplo que me das no lo consigo realizar ya que no entiendo como saltarse la extensión que fuerzo en el include --> include($_GET['pagina'].".php");
Lo intento de la siguiente manera sin éxito:

http://localhost/r/r.php?pagina=text.txt?

Con php://filter puedes ver el código de los php en el servidor y buscar otra vulnerabilidad que te deje ver archivo.txt

php://filter/convert.base64-encode/resource=index quedaría php://filter/convert.base64-encode/resource=index.php por lo que no puedes ver el .txt directamente, pero sí los .php.


Este ejemplo que me pones no lo conocía y me ha venido bien saber de esto:

http://localhost/r/r.php?pagina=php://filter/convert.base64-encode/resource=r

Con lo que me da una ristra de caracteres:

PD9waHANCg0KICAgIC8qDQogICAgLy9BYnJpbW9zIGVsIGZpY2hlcm8geSBlc2NyaWJpbW9zIGVuIGVsIFhTUw0KICAgICRmcCA9IGZvcGVuKCJmaWNoZXJvLnR4dCIsICJ3Iik7DQogICAgZnB1dHMoJGZwLCAiPHNjcmlwdD5hbGVydCgnVnVsbmVyYWJsZSBhIFhTUycpOzwvc2NyaXB0PiIpOw0KICAgIGZjbG9zZSgkZnApOw0KICAgICovDQogIA0KICAgIGlmKGlzc2V0KCRfR0VUWydwYWdpbmEnXSkpew0KICAgICAgICBpbmNsdWRlKCRfR0VUWydwYWdpbmEnXS4iLnBocCIpOw0KDQogICAgICAgIGVjaG8gIjxicj48YnI

Y al decodificarlos en Base64 me proporciona la el código fuente de la página. Esto me permite realizarlo con cualquier fichero .php(sin añadir la extensión) del proyecto.

Eso es lo te referías?

Espero su respuesta, un saludo!

Se puede decir que la función htmlspecialchars() es mas segura empleando los parámetros que pone el-brujo que esta que propuse yo?

addslashes(htmlspecialchars($_POST['texto'], ENT_QUOTES));

De ser así en que se diferencia? se podría decir que la que el propone es lo ultimo de lo ultimo? de ser así el nivel de seguridad seria alto?

Espero su respuesta, un saludo!

Hola el-brujo,

Entiendo que las tres opciones que presentas arriba son las mas efectivas hasta el dia de hoy. Pero quiero entender que es lo que hace realmente, por ejemplo no entiendo los parámetros después de la barra que le pasas a htmlspecialchars:

htmlspecialchars($data,ENT_QUOTES | ENT_HTML401,$encoding);

Se que a $encoding le asignas la cadena 'UTF-8' en la lista de parámetros de la función xssafe. Si fueras tan amable de explicarme lo que hace lo subrayado en negrita te lo agradecería.

Espero su respuesta, a y se me olvidaba tremendo aporte!

Hola a toda la comunidad,

Hoy vengo con una duda que después de buscar no llego a una conclusión concreta, dicha duda que me inquieta es a la hora de realizar filtros para evadir los ataques conocidos como XSS.

Tras leer y leer me encontrado con una serie de métodos que puede que nos ayuden a crear un sistema lo suficientemente seguro como para de momento respirar un poco mas tranquilos ante estos ataques, dichos métodos que he visto son los siguientes:

htmlspecialchars
addslashes
stripslashes
htmlspecialchars
......

Pero lo que si que es verdad es que la gran mayoría de los post que hablan de ello y de como han de ser utilizados ya son algo antiguos y quisiera saber cuales son los métodos/técnicas mas efectivos hoy en día.

He visto que lo mas efectivo para los inputs de un formulario es recoger el dato haciendo uso de la siguiente concatenación y haciendo uso de la constante ENT_QUOTES:

addslashes(htmlspecialchars($_POST['texto'], ENT_QUOTES));

Pero como digo esto no es nada nuevo si observamos la fecha de algunos post de los que habla este foro sobre estos temas.

Espero que me podáis ayudar con este tema, un saludo!

Antes de nada gracias por contestar T. Collins,

He buscado en google alternativas a null byte y no es que me salga mucho y lo que me arroja no esta muy detallado que digamos.

Por otra parte, me estas diciendo que con a opción allow_url_include activada si que puedo hacer uso de la secuencia %00 aun estando en una versión superior a la de PHP 5.3.4?....Por otra parte a que te refieres con php://filter

Por favor se mas explicito, un saludo!