como puedo protegerme de esto si tiene que pasar una web entera por el $_POST, me da igual bloquear el <iframe></iframe> y el <frame></frame> y el <frameset></frameset> este es el link donde salen, me parece que no se me escapa ninguna:
http://librosweb.es/xhtml/capitulo_2/etiquetas_y_atributos.html
por el $_POST tiene que pasar toda una web y claro si no quito esas etiquetas me pueden hacer ataques de todo tipo, el XSS me da =
prueba.php
<html>
<head>
</head>
<body>
<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>
</body>
</html>
prueba2.php
<?php
header('X-XSS-Protection: 0');
$texto = $_POST["texto"];
echo $texto;
?>
y luego introduzco esto que podria estar fuera del servidor el .php:
<html><head></head><body><iframe src="prueba6.php" width="1000px" height="1000px"></iframe></body></html>
prueba6.php = archivo alojado fuera del servidor
<?php
//system("ls");
$file = readfile("filter_var.php");
echo $file;
?>
y se veria el codigo fuente de cualquier archivo del servidor,modificaciones,etc,nose que puedo hacer, hecharme una mano x favor,gracias
Lo que estas haciendo es abrir todas las puertas y ventanas de tu casa... y pretendes protegerte...
Saludos
drvy | BSM parece ser seguro, estaba haciendo todo en localhost por eso el php me lo cojia del localhost el prueba6.php. Ahora he puesto prueba6.php x ejemplo en: tecasystem.com y desde localhost hago todo lo demas y lo unico que se ve es el server donde esta alojado el prueba6.php, no desde localhost que tengo todos mis datos, es decir, se ejecuta donde esta el archivo,entiendes?es un error mio lo comprendes a que me refiero? ahora ya no se ve el codigo fuente ni nada,parece seguro auque pueden poner un iframe hacia un virus y asi infectar el pc que quieran,pero en eso no estoy pensando,comprendes lo que quiero hacer(un CMS propio).
Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php
tecasoft, asi como lo veo no entiendo que uso le estas dando, creo en que estas aplicando mal las cosas.
Cita de: tecasoft en 4 Mayo 2013, 13:17 PM
Edito: otra cosa te invito a que me hackees la web: www.tecasystem.com/prueba.php
No te enojes, creo en que deberias estudiar mas sobre vulnerabilidades y seguridad en aplicaciones web.
pero XSS me da = intenta hacerme algo en la web haber si puedes. espero haber si me devuelves contestacion :silbar: ;-)
Edito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias
lo lei como 100000000 veces y no entendi que intentas hacer :laugh:
bueno suponiendo que lo que quieres es mostrar un archivo php en pantalla prueba con html entities
http://php.net/manual/es/function.htmlentities.php
<?php
//system("ls");
$file = readfile("filter_var.php");
echo htmlentities($file);
?>
solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
Cita de: tecasoft en 4 Mayo 2013, 18:59 PM
solo quiero ver si hay vulnerabilidades en mi web que puedan hacerme algo,quiero alguna prueba o decirme algo que no haya visto,gracias
aa vale
pregunta: que haras cuando tengas un cms que necesariamente necesitara cookies y un xss en el que pueden poner cualquier codigo incluyendo javascript que podria con las cookies de admin modificar el codigo de fuente de una web o hacer un worm?
incluso se me ocurre que con ese iframe seria bastante simple hacer phishing...
o cosas como likejacking clickjacking etc etc
te dejo que pruebes la web y me dices algo http://www.tecasystem.com/prueba.php
prueba.php
<html>
<head>
</head>
<body>
<form action="prueba2.php" method="post">
<input type="text" name="texto" size="150"><br>
<input type="submit" value="enviar">
</form>
</body>
</html>
y prueba2.php
<?php
header('X-XSS-Protection: 0');
$texto = $_POST["texto"];
echo $texto;
?>
Edito: asi me gusta daryo te tengo que dar las gracias x sacar a la luz trukillos,voy a repasarlo un poco haber.
pues si probe con un tipico alert y salio el mensaje por eso te digo ...
pd: por nada
y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:
mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:
Edito: me puedes poner algun ejemplo
Cita de: tecasoft en 4 Mayo 2013, 19:42 PM
y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:
mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:
Edito: me puedes poner algun ejemplo
bue yo haria esto mne registro y todo creo una web que con javascript envie automaticamente una peticion web explotando el xss antes mencionado y bue asi podria hacer lo antes mencionado desde likejacking - hasta desfacear alguna web del vecino.
luego le envio a alguien ese enlace de la pagina que modifica algo con el xss
en fin dependiendo como lo hagas se tendrian x o y posibilidades
y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?
Cita de: tecasoft en 4 Mayo 2013, 19:58 PM
y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?
mira no soy experto en seguridad web pero se que usan tokens por sesion para hacer mas dificil el falsificar peticiones web , se filtran las salidas de las variables con htmlentities
usa los include de php(por ejem mira que el code de wordpress esta lleno de estos) en vez de esos iframes
tambien usa https para evitar algunas cosas
en fin hay muchas cosas que se pueden hacer XD
tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso
Cita de: tecasoft en 4 Mayo 2013, 20:12 PM
tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso
la redireccion web o el uso de bases de datos en otro dominio es lo de menos si se programa bien la web
tanto como modificar archivos que esten en otro dominio la verdad no conozco asi que no sabria decirte pero creo que aplicaria el mismo principio si se programa bien entonces no pasa nada
ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.
Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias
Cita de: tecasoft en 4 Mayo 2013, 20:25 PM
ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.
Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias
talves mañana te mando un pv
suerte en tu proyecto
CitarEdito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias
Ya veo :P
Mira, ahora mismo es una tontería intentar "hackear" tu web. Mas que nada porque es un estupido echo.. Tu sigue implementando de este modo (sin preocuparte de nada) y cuando la lanzes.. veremos si tus clientes (que tendrán que pagar) quedan satisfechos con su inversión...
No te lo digo a malas... pero hay que preocuparse.. Blogger tiene implementado su propio tipo de plantilla, cada blog esta en un dominio(subdominio) diferente y se preocupa de meter sus cookies/sessiones bien (solo para X dominio).
Encima, vas y desactivas la protección contra XSS..
Considera que en vez de meter el código duro y puro... podrías crear un sistema de plantillas... que el usuario se tenga que adaptar a tu sintaxis y que no tenga la libertad de meter lo que le de la gana.
PD: La regla numero 1 en cuanto a seguridad en entorno web..
Nunca te fíes de lo que te manda el usuario... nunca.Saludos