elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


  Mostrar Mensajes
Páginas: 1 2 3 [4] 5 6
31  Foros Generales / Sugerencias y dudas sobre el Foro / Re: que hay que hacer para ser colaborador en: 26 Agosto 2007, 13:03 pm
Pues dicho está!

Aun así, supongo que a parte del curro que se pegan tanto moderadores como colaboradores, también es importante tener conocimientos en ciertas areas!
32  Seguridad Informática / Hacking / Re: rastrear y localizar una IP en: 25 Agosto 2007, 01:15 am
Esta aplicaciones que te dicen la posición exacta de la ip... No acostumbran a equivocarse de mala manera?
33  Seguridad Informática / Hacking / Re: Código PHP AntiXSS en: 5 Agosto 2007, 02:01 am

Después basta con no usar 'includes' para evitar RFI


A eso me refería! Aunque gracias por poner cual seria la manera correcta!
34  Seguridad Informática / Hacking / Re: Código PHP AntiXSS en: 4 Agosto 2007, 16:58 pm
Mmmmm... ahora lo entiendo mejor! Ya he visto que el código fuente ha sido 'traducido'.

Así que htmlentities no tiene ningún error, no? Sólo dificulta el trabajo posterior con la variable, no? (como ha dicho Sidarckcat). Pero tengo entendido que con html_entity_decode() eso se soluciona en un plis, plas.

Así que realmente htmlentities es la clave. Después basta con no usar 'includes' para evitar RFI, y usar comillas simples y htmlentities otra vez para evitar Sql Injections.

Gracias por esta discusión ^^ !
35  Seguridad Informática / Hacking / Re: Código PHP AntiXSS en: 4 Agosto 2007, 16:34 pm
Llevo varios dias siguiendo este hilo y a dia de hoy tengo varias preguntas...

Primero de todo, he provado el htmlentities.. Y con estos códigos y está entrada me da una salida que no entiendo...

Código
  1. <FORM ACTION="CodigoAntiXSSRecepcion.php" METHOD="get">
  2.  
  3.   <INPUT TYPE="text" NAME="vuln">
  4. <BR><BR>
  5.   <INPUT TYPE="submit" VALUE="Enviar">
  6.  
  7. </FORM>

Esto es lo que le he introducido: (hola<>\\\"n\'-hla

Este es el código de recepcion:

Código
  1. <?php
  2.  
  3. $var = $_GET["vuln"];
  4. $var2 = htmlentities($var, ENT_QUOTES);
  5.  
  6. ?>
  7. <FORM>
  8. <BR>
  9. Has escrito: <?php echo $var2; ?>
  10. </FORM>


Y esta es la salida: (hola<>\\\\\\\"n\\\'-hla

No se me tendrían que eliminar tags como '<', '>', '\','&'??? Si no es así no sé para qué usar htmlentities...

Con el otro código me ha funcionado...el input era (hola<>\\\"n\'-hla& y el output ha sido: (hola<>"n-hla , con lo que me ha eliminado lo que tenía que eliminar.


Aquí va mi otra duda, se ha demostrado que el código de htmlentities es bastante más rápido, pero con el casero puedo evitar entradas como :

Código:
CHAR(83,69,76,69,67,84,32, 42,32,70,82,79,77,32,81,85,69,82,73,69,83)

Para evitar SQL injections.

O cadenas codeadas en hexadecimal o octal para evitar un RFI, no?

Por lo que he leido eso no lo puedes hacer con la función nativa.


Aviso: Soy un completo novato... Así que piedad si digo estupideces ^^
36  Seguridad Informática / Nivel Web / Re: Tutorial Cookie Poisoning en: 4 Agosto 2007, 15:30 pm
No quiero chafarte el pastel... Pero si continuas probando esta técnica por todos los foros por los que vas, te va a caer una buena. . .

http://www.google.es/search?hl=es&q=foros+vulnerables+a+XSS&btnG=Buscar+con+Google&meta=

Te tendrás que registrar...
37  Informática / Tutoriales - Documentación / Re: Brincar algunos sitios privados haciéndonos pasar por Googlebot en: 1 Agosto 2007, 10:11 am
No veo cómo esto nos permite acceder a sitios que se debe estar registrado.

Pues si google te permite ver esa información que no se puede ver sin estar registrado es por que puede acceder a ella.


Yo siempre me he preguntado cómo huevos podía ocurrir eso. Ahora lo entiendo, más o menos... Aun no entiendo por que si cambias el User Agent te permite acceder? Por qué se da prioridad a googlebot por defecto? O no es por defecto?
38  Informática / Tutoriales - Documentación / Re: Descargar música con Google, como si se tratase de un p2p en: 1 Agosto 2007, 10:02 am
La técnica en si es antigua, pero realmente aquí aprendes más del funcionamiento práctico de los tags... Se explica bien el chaval :D

Gracias!
39  Seguridad Informática / Nivel Web / Re: Cookies httpOnly en Firefox 2.0.0.5 en: 26 Julio 2007, 16:17 pm
El defacing no es más que la acción de un ser frustrado.
El hacking web no és lo mismo que defacear una web. Igual que no es lo mismo el hacking que joderle el pc a alguien.
40  Seguridad Informática / Nivel Web / Re: Cookies httpOnly en Firefox 2.0.0.5 en: 26 Julio 2007, 02:00 am
Me parece una gran idea. Es bueno que se preocupen de estas cosas. Un minipunto para firefox!

Y eso de un foro de Hacking Web no estaría nada mal!
Páginas: 1 2 3 [4] 5 6
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines