como protegerme de esto si tiene que pasar una web entera

Iniciado por tecasoft, 4 Mayo 2013, 03:29 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1 2
Acciones del Usuario

tecasoft

4 Mayo 2013, 03:29 AM
como puedo protegerme de esto si tiene que pasar una web entera por el $_POST, me da igual bloquear el <iframe></iframe> y el <frame></frame> y el <frameset></frameset> este es el link donde salen, me parece que no se me escapa ninguna:

http://librosweb.es/xhtml/capitulo_2/etiquetas_y_atributos.html

por el $_POST tiene que pasar toda una web y claro si no quito esas etiquetas me pueden hacer ataques de todo tipo, el XSS me da =

prueba.php
Código [Seleccionar]

<html>
<head>

</head>
<body>

<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>



</body>
</html>



prueba2.php
Código [Seleccionar]

<?php
header('X-XSS-Protection: 0');

$texto $_POST["texto"];

echo $texto;
?>


y luego introduzco esto que podria estar fuera del servidor el .php:

Código [Seleccionar]

<html><head></head><body><iframe src="prueba6.php" width="1000px" height="1000px"></iframe></body></html>



prueba6.php = archivo alojado fuera del servidor
Código [Seleccionar]

<?php
//system("ls");
$file readfile("filter_var.php");
echo $file;
?>



y se veria el codigo fuente de cualquier archivo del servidor,modificaciones,etc,nose que puedo hacer, hecharme una mano x favor,gracias
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

#!drvy

#1
4 Mayo 2013, 08:38 AM
Lo que estas haciendo es abrir todas las puertas y ventanas de tu casa... y pretendes protegerte...

Saludos

tecasoft

#2
4 Mayo 2013, 13:17 PM Ultima modificación: 4 Mayo 2013, 13:43 PM por tecasoft
drvy | BSM parece ser seguro, estaba haciendo todo en localhost por eso el php me lo cojia del localhost el prueba6.php. Ahora he puesto prueba6.php x ejemplo en: tecasystem.com y desde localhost hago todo lo demas y lo unico que se ve es el server donde esta alojado el prueba6.php, no desde localhost que tengo todos mis datos, es decir, se ejecuta donde esta el archivo,entiendes?es un error mio lo comprendes a que me refiero? ahora ya no se ve el codigo fuente ni nada,parece seguro auque pueden poner un iframe hacia un virus y asi infectar el pc que quieran,pero en eso no estoy pensando,comprendes lo que quiero hacer(un CMS propio).

Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

EFEX

#3
4 Mayo 2013, 18:28 PM
tecasoft, asi como lo veo no entiendo que uso le estas dando, creo en que estas aplicando mal las cosas.

Cita de: tecasoft en  4 Mayo 2013, 13:17 PM
Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php

No te enojes, creo en que deberias estudiar mas sobre vulnerabilidades y seguridad en aplicaciones web.
GITHUB 

tecasoft

#4
4 Mayo 2013, 18:35 PM Ultima modificación: 4 Mayo 2013, 18:39 PM por tecasoft
pero XSS me da = intenta hacerme algo en la web haber si puedes. espero haber si me devuelves contestacion  :silbar:  ;-)

Edito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

#5
4 Mayo 2013, 18:56 PM Ultima modificación: 4 Mayo 2013, 19:00 PM por daryo
lo lei como 100000000 veces y no entendi que intentas hacer  :laugh:


bueno suponiendo que lo que quieres es mostrar un archivo php en pantalla prueba con html entities
http://php.net/manual/es/function.htmlentities.php

Código (php) [Seleccionar]
<?php
//system("ls");
$file readfile("filter_var.php");
echo htmlentities($file);
?>
buenas

tecasoft

#6
4 Mayo 2013, 18:59 PM
solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

#7
4 Mayo 2013, 19:00 PM Ultima modificación: 4 Mayo 2013, 19:16 PM por daryo
Cita de: tecasoft en  4 Mayo 2013, 18:59 PM
solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
aa vale

pregunta: que haras cuando tengas un cms que necesariamente necesitara cookies y un xss en el que pueden poner cualquier codigo incluyendo javascript que podria con las cookies de admin modificar el codigo de fuente de una web o hacer un worm?

incluso se me ocurre que con ese iframe seria bastante simple hacer phishing...

o cosas como likejacking clickjacking etc etc
buenas

tecasoft

#8
4 Mayo 2013, 19:20 PM Ultima modificación: 4 Mayo 2013, 19:24 PM por tecasoft
te dejo que pruebes la web y me dices algo http://www.tecasystem.com/prueba.php

prueba.php
Código [Seleccionar]

<html>
<head>

</head>
<body>

<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>



</body>
</html>


y prueba2.php

Código [Seleccionar]

<?php
header('X-XSS-Protection: 0');

$texto $_POST["texto"];

echo $texto;
?>


Edito: asi me gusta daryo te tengo que dar las gracias x sacar a la luz trukillos,voy a repasarlo un poco haber.
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

#9
4 Mayo 2013, 19:24 PM
pues si probe con un tipico alert y salio el mensaje por eso te digo ...


pd: por nada
buenas
Imprimir
Ir Arriba Páginas1 2
Acciones del Usuario