necesito pasar estos datos x post

Iniciado por tecasoft, 9 Abril 2013, 17:09 PM

0 Miembros y 1 Visitante están viendo este tema.

WHK

Vamos, esa función es para prevenir la inyección sql no un xss, la seguridad está en esos backslashses, si se los sacas pierde la seguridad, son utilizados como secuencia de escape y no se guardan... esa función no funciona con un echo, funciona con mysqli_query().

tecasoft

#21
perfecto WHK ya voy comprendiendo contigo la dinamica de los ataques, ahora me falta lo mas importante como podria hacer una lista blanca o protegerme contra Remote code/command execution y rfi, yo pienso que con una lista blanca se protegeria uno no¿? la cuestion es mandar x el post una web en html y javascript pero k no altere nada con php es decir, Remote code/command execution y rfi...

Edito: estoy probando y no se puede ejecutar codigo Remote code/command execution y rfi haciendo un echo x un post:


<?php
header
('X-XSS-Protection: 0');

$texto=$_POST["texto"];

echo 
$texto;
?>



que tipo de vulnerabilidad veis, sin contar xss¿? que pasaria con las etiquetas <iframe>¿?
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

WHK

es imposible proteger una web con listas blancas y negras, siempre habrá un agujero de seguridad, ni si quiera google ha podido crear ese famoso filtro infalibre contra ataques informáticos, phpids que es un proyecto colosal de listas negras tiene que estar sujero todos los dias a actualizaciones porque nunca se dejan de encontrar agujeros de seguridad que invaliden su protección.

La unica manera de estar bien protegido es utilizando las funciones adecuadas en su preciso momento, nada mas que eso, si te vas por las listas blancas y negras entonces estas totalmente perdido.

La seguridad informática a nivel web no se previene con un par de lineas, es un tema demasiado extenso.

Dale un vistazo a este enlace:
https://www.owasp.org/index.php/Category:Vulnerability

tecasoft

y lo de phpids lo ves bien para ponerlo en las webs, dime tu que dirias o que utilizas¿? gracias

Edito: estoy mirando phpids como instalarlo, me lo he descargado.
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

WHK

mira, que phpids no asegurará que funcione tu web de forma 100% segura, es solo para prevenir ataques de paginas medianamente seguras, si no eres capaz de hacer ese "medianamente" entonces no te va a servir mucho.

Yo no uso ningún software especial ni ninguna regla especial y he hecho hartas webs y todas seguras, es solo cosa de acostumbrarse a programar bien, eso es todo, si no lo puedes hacer entonces olvidate del tema de la seguridad.

Ten paciencia, nada se logra de un dia para otro, date tu tiempo y practica.

tecasoft

tienes razon whk, hay que ir despacio y lo voy hacer para practicar para que sea 100% segura, pero me podrias decir mas o menos como funciona phpids?, es que esta en ingles y no lo entiendo mucho y para que serviria phpids para detener a un hacker o para ver solo las vulnerabilidades que tienes? explicame un poco que no estoy a tu altura, muchas gracias
http://www.tecasoft.com Un ninja del hacking etico, programacion en html5, css3, javascript, jquery, php, python, c/c++, ensamblador, ingenieria reversa,a auditorias de seguridad, pentesting, exploits

WHK

Mira, phpids lo bajas y se integra con php, no es lllegar y hacerle un include y listo, hay que configurarlo y pasarle funciones en el código, si no sabes mucho de programación entonces te va a costar un mundo.

Te recomiendo que para comenzar no utilices estos sistemas, te mal acostumbran a programar mal porque le dejas la seguridad en manos de phpids y eso no es bueno, phpids se utiliza en un sistema bien programado y bien seguro para que phpids detenga algunas fallas de seguridad no previstas, pero en ningún caso pretende hacerte todo el trabajo, phpids es vulnerable, siempre lo ha sido y siempre lo será, lo unico que hace es ayudar con la seguridad, no protegerlo al 100%.

Si quieres hacer cosas seguras entonces guiate por los estandares, haz una buena programación y listo, no necesitas ser un hacker para hacer un buén sistema web, solo debes utilizar las funciones adecuadas creadas para cada ocación, si php te dice que debes utilizar htmlspecialchars para mostrar una variable entonces eso debes hacer, si no haces lo que te recomienda el creador del lenguaje entonces estarás a la deriva.

mysql también tiene reglas de seguridad, php, python, perl, etc, todos lo tienen, la unica excepción es .net que trae sus propios filtros no estandarizados y son muy malos pero que mas se iba a esperar de microsoft.

Documentate, anda de a poco, vuelve a aprender php, apoyate mucho de php.net, no todos los blogs o foros tienen la razón.

Saludos.