como protegerme de esto si tiene que pasar una web entera

Iniciado por tecasoft, 4 Mayo 2013, 03:29 AM

0 Miembros y 1 Visitante están viendo este tema.

tecasoft

#10
y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:

mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:

Edito: me puedes poner algun ejemplo
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

Cita de: tecasoft en  4 Mayo 2013, 19:42 PM
y que harias tu si quieres pasar javascript, pasarlo y ya esta,la CUESTION seria:

mis usuarios se registrarian y pagarian x el servicio de tener una web y luego ellos pueden modificar la web como ellos kieran, k inconvenientes ves hay:

Edito: me puedes poner algun ejemplo

bue yo haria esto mne registro y todo creo una web que con javascript envie automaticamente una peticion web explotando el xss antes mencionado y bue asi podria hacer lo antes mencionado desde likejacking - hasta desfacear alguna web del vecino.

luego le envio a alguien ese enlace de la pagina que modifica algo con el xss

en fin dependiendo como lo hagas se tendrian x o y posibilidades

buenas

tecasoft

y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

Cita de: tecasoft en  4 Mayo 2013, 19:58 PM
y komo lo hacen los grandes de la industria como arsys para manejar estas cosas?

mira no soy experto en seguridad web pero se que usan tokens por sesion para hacer mas dificil el falsificar peticiones web , se filtran las salidas de las variables con htmlentities

usa los include de php(por ejem mira que el code de wordpress esta lleno de estos) en vez de esos iframes

tambien usa https para evitar algunas cosas

en fin hay muchas cosas que se pueden hacer XD

buenas

tecasoft

tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

Cita de: tecasoft en  4 Mayo 2013, 20:12 PM
tambien he visto que utilizan otro dominio, que no es el suyo komo x ejemplo si es dinahosting.com la empresa te redireccionan a creowebs.com x poner un ejemplo y eso pasa con todas las empresas que he visto,puede ser el seo de su web lo que no quieren perder en caso de algun fallo tecnico, es que veo algo hay en eso
la redireccion web o el uso de bases de datos en otro dominio es lo de menos si se programa bien la web

tanto como modificar archivos que esten en otro dominio la verdad no conozco asi que no sabria decirte pero creo que aplicaria el mismo principio si se programa bien entonces no pasa nada
buenas

tecasoft

ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.

Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

daryo

Cita de: tecasoft en  4 Mayo 2013, 20:25 PM
ok mirare lo de los tokens por sesion para hacer mas dificil el falsificar peticiones web.

Me gustaria que me ayudaras un poco en esto,asi ven mas 4 ojos k 2, estoy muchas veces x aki x el foro,asi k si me ves y me puedes contestar me harias un favor,hoy x mi,mañana x ti,gracias

talves mañana te mando un pv

suerte en tu proyecto
buenas

#!drvy

#18
CitarEdito: e leido bastante sobre seguridad,asi k necesito una prueba haber si me pones a prueba.Gracias

Ya veo  :P

Mira, ahora mismo es una tontería intentar "hackear" tu web. Mas que nada porque es un estupido echo.. Tu sigue implementando de este modo (sin preocuparte de nada) y cuando la lanzes.. veremos si tus clientes (que tendrán que pagar) quedan satisfechos con su inversión...

No te lo digo a malas... pero hay que preocuparse.. Blogger tiene implementado su propio tipo de plantilla, cada blog esta en un dominio(subdominio) diferente y se preocupa de meter sus cookies/sessiones bien (solo para X dominio).

Encima, vas y desactivas la protección contra XSS..

Considera que en vez de meter el código duro y puro... podrías crear un sistema de plantillas... que el usuario se tenga que adaptar a tu sintaxis y que no tenga la libertad de meter lo que le de la gana.

PD: La regla numero 1 en cuanto a seguridad en entorno web.. Nunca te fíes de lo que te manda el usuario... nunca.
Saludos