elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Informática
| |-+  Tutoriales - Documentación (Moderadores: r32, ehn@)
| | |-+  Html inyection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Html inyection  (Leído 9,339 veces)
programatrix


Desconectado Desconectado

Mensajes: 3.287


Ver Perfil WWW
Html inyection
« en: 13 Diciembre 2005, 20:59 pm »

1 ¿Que es el html inyection?
Se trata de una técnica que como su propio nombre indica inyecta código dentro de una web en html...
Al inyectar código html maligno podemos hacer que el navegador se nos vuelva (loco) y muestre la web que quiera el autor del deface.
2 Y esto ¿por qué sucede?
Esto sucede porque los creadores de la web no filtraron bien las etiquetas html permitiendolo. Esto se de mucho en los libros de visitas hechos por aficionados o en tagboard hechos por aficionados a la programación. Al subir nosotros un texto a la base de datos dicho texto queda públicado en internet y como el navegador lo muestra tali lo que recibe pues si ese texto es una orden al navegador de que deje esa web mostrando otra web pues lo hace.
3 Practica
Para comprobar si el libro de visitas o lo que sea es vulnerable pues se hace lo siguiente, pones en el libro de visitas el siguiente código:
Citar
<h1>Prueba
Si aparece en negrita y grande borra y pureba también lo siguiente:
Citar
<script>alert('Es vulnerable')</script>
Si estas dos cosas suceden ves corriendo a notificar al webmaster de que su libro es vulnerable esto es importante IMPORTANTE NOTIFICALE
Si no te ha hecho ni caso..., pues entonces vamos al siguiente paso:
Citar
<iframe
src=http://www.webdetudeface.net></iframe>
O bien:
Citar
<META HTTP-EQUIV="refresh" CONTENT="1; url=http://www.webdetudeface.net">
La dirección webdetuceface tiene que ser donde tienes la web que vas a mostrar IMPORTANTE pon tu email diciendo al webmaster donde contactar para que pueda arreglar lo que has lidado
4 Ética de estos ataques
Pues estos ataques no es que sean muy éticos, pueden servir para divertirse y aprender pero no para más..., lo bueno que tiene esto es que el daño en la web es mínimo y un webmaster espabilaó lo arreglaría enseguida.
5 ¿Y como se solucionan?
Pues muy sencillo, en el archivo php tienes que filtrar lo que te entra con htmlspecialvars, así el ataque no se lleva a cabo.
6 ¿Porqué este manual?
Por dos cosas, porque no lo he visto en el foro. Y la segunda porque he visto manuales de mysql inyection, XSS y remote file inyection pero ninguno de html inyectión y me parece interesante.
Saludos  8)


« Última modificación: 13 Diciembre 2005, 21:04 pm por reydelmundo11 » En línea

askatasun

Desconectado Desconectado

Mensajes: 245


Ver Perfil
Re: Html inyection
« Respuesta #1 en: 13 Diciembre 2005, 21:04 pm »

interesantee, lo que pasa es que si no te funciona y ven en el libro de visitas <script>alert</script>  te echaran un ban de por vida


En línea

la lógica procede de la imaginación
-----------------------------------------
...y al volver la vista atrás
se ve la senda que nunca
se ha de volver a pisar. ..
programatrix


Desconectado Desconectado

Mensajes: 3.287


Ver Perfil WWW
Re: Html inyection
« Respuesta #2 en: 13 Diciembre 2005, 21:06 pm »

Usa proxy y limpia la cookie.., no es para tanto yo me quité en 5 minutos un ban de smf  ;D
« Última modificación: 13 Diciembre 2005, 21:13 pm por reydelmundo11 » En línea

comapalta


Desconectado Desconectado

Mensajes: 666



Ver Perfil
Re: Html inyection
« Respuesta #3 en: 27 Diciembre 2005, 18:26 pm »

Jajajaja bueno  ;D ;D
En línea


Colymore


Desconectado Desconectado

Mensajes: 420


uid=0(root) gid=0(root) grupos=0(root)


Ver Perfil WWW
Re: Html inyection
« Respuesta #4 en: 27 Diciembre 2005, 18:41 pm »

Solo una aclaracion.
Creo que esto esta mal:
Por dos cosas, porque no lo he visto en el foro. Y la segunda porque he visto manuales de mysql inyection, XSS y remote file inyection pero ninguno de html inyectión y me parece interesante.

Remote File INYECTION??Creo que es remote file inclusion remote command execution..pero inyection no me suena.
Saludos
En línea

-Riven-Ward-
RivenSoft


Desconectado Desconectado

Mensajes: 2.215


Do you like Mario? xDDDDDDDDDDDD


Ver Perfil WWW
Re: Html inyection
« Respuesta #5 en: 27 Diciembre 2005, 18:48 pm »

Mmm...... Primero que nada es "injection", no "inyection". Segundo, esto se llama "XSS", Cross Site Scripting, no HTML Injection.

Tercero...

Código:
en el archivo php tienes que filtrar lo que te entra con htmlspecialvars

La función es htmlspecialchars()... Y también se puede usar htmlentities().

Y cuarto...

Citar
Si no te ha hecho ni caso..., pues entonces vamos al siguiente paso:

¿Cómo es eso de que si no te ha hecho ni caso? :shocked:. Siesque no te hizo caso, pues le jodes hasta que te oiga, le haces muchos sumbidos y le mandas muchos mails xDDD, pero no le juankeas la web :shocked:.

Y bueno, lo que dijo Colymore sobre el RFI.

Salu2!
En línea

Usuario Banneado
programatrix


Desconectado Desconectado

Mensajes: 3.287


Ver Perfil WWW
Re: Html inyection
« Respuesta #6 en: 29 Diciembre 2005, 14:11 pm »

Ok, ok, gracias riven ward por completarme el tutorial  ;D
Pues es que estó en una web donde aprendí lo llamabán html inyection.
Saludos  ::)
En línea

Superplay


Desconectado Desconectado

Mensajes: 670



Ver Perfil
Re: Html inyection
« Respuesta #7 en: 30 Diciembre 2005, 23:00 pm »

¿Cómo se borra la Cookie o como sea?jejejejejeje

Aconsejame un buen xploit  ;)
En línea



"Nací siendo un virus" By Windows.
Este mensaje no es por ofender, yo uso Windows también, simplemente... es broma ;)
lupu

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Html inyection
« Respuesta #8 en: 2 Enero 2006, 23:06 pm »

superplay, para no saber que es una cookie no se que haces leyendo esto, has probao a buscar¿
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problemas con una sql inyection!
Nivel Web
h3ct0r 3 3,376 Último mensaje 17 Octubre 2011, 13:35 pm
por h3ct0r
Problema con Sql Inyection
Nivel Web
Tracxus 0 1,792 Último mensaje 16 Julio 2012, 02:48 am
por Tracxus
sql inyection en URL sin parametros
Hacking
x4vYoR 2 3,105 Último mensaje 2 Noviembre 2015, 02:34 am
por x4vYoR
¿Qué es un SLQ Inyection?
Dudas Generales
QuikK- 2 2,196 Último mensaje 14 Noviembre 2015, 22:16 pm
por 2Fac3R
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines