Html Injection

Iniciado por WebStar, 18 Noviembre 2007, 15:38 PM

0 Miembros y 1 Visitante están viendo este tema.

sirdarckcat

OzX: http://es.wikipedia.org/wiki/XSS
Estas confundiendo XSS persistente (o directo), o XSS reflejado (o indirecto).

Saludos!!

~[uNd3rc0d3]~

Cita de: WebStar en 18 Noviembre 2007, 15:38 PM
<h1> hola como va??

Cita de: i--44 en 22 Noviembre 2007, 01:55 AM
<h1> hola como va??

no ves que el ya lo habia hecho??

Cita de: sirdarckcat en 22 Noviembre 2007, 03:05 AM
hola como va??

sip el foro es sensible a los codigos BBC (o algo asi)

pero de ahi a html falta mucho


leete las reglas asi todos estamos mejor ;)

sirdarckcat

riva, de hecho el BBCode se transforma en HTML xD, pero bueno.. esto como que se esta desviando del tema jajaja

-sagitari-

Las inyecciones HTML desde mi punto de vista cada vez son menos factibles.
Y son muy pocas las webs ya sean libros de visitas, foros.. etc. que tienen el HTML permitido.. y en el caso de que lo tengan el "HTML ON" solamente permite códigos que no sean maliciosos.. como poner en negrita, etc, no permitirían hacer redirecciones , poner alerts, frames... etc.

Pero siempre siguen habiendo webs que no filtran códigos HTML ....


Saludos.

OzX

Cita de: sirdarckcat en 23 Noviembre 2007, 23:28 PM
OzX: http://es.wikipedia.org/wiki/XSS
Estas confundiendo XSS persistente (o directo), o XSS reflejado (o indirecto).

Saludos!!

si sabia q me faltaba algo xD¡
jejeje xD' la verdad no tenia ni la mas remota idea  :o..

thanx¡  sirdarckcat ¡ Saludos¡

a leer a leer  :-[

~[uNd3rc0d3]~

Cita de: sirdarckcat en 24 Noviembre 2007, 02:34 AM
riva, de hecho el BBCode se transforma en HTML xD, pero bueno.. esto como que se esta desviando del tema jajaja

perdon, me referia a injectar html  ;)


leete las reglas asi todos estamos mejor ;)

_mÙëK§™_

ps  a mi parecer HTML injection y XSS es lo mismo, inyectas codigo, pero bueno... :rolleyes:

Inyectar HTML???? años sin ver un foro que permita mas haya de BBCode...pero bueno...

Salu2

~[uNd3rc0d3]~

Cita de: muekas en  2 Diciembre 2007, 07:45 AM
ps  a mi parecer HTML injection y XSS es lo mismo, inyectas codigo, pero bueno... :rolleyes:

Inyectar HTML???? años sin ver un foro que permita mas haya de BBCode...pero bueno...

Salu2
hay muchisimas webs de noticias de ciudades que no son grandes que tienen un buscador

y en esos buscadores podes mete de todo  :D

leete las reglas asi todos estamos mejor ;)

rdzlcs

Hola amigos, con eso yo puedo hacer lo que quiero en la pagina no?
Guau que copado jejeje por ej

<script>
  document.documentElement.innerHTML="ActiveSheet";
</script>


Yo con eso podria borra todo no? Hay no, que bueno che jejje re maldito, pero no me gusta hacer eso....

Chau suerte
Navegando en un mar de unos y ceros. Saltando de capa en capa por un modelo que lejos de ser seguro, nos da la libertad de Ser y No Ser.

OzX

#19
un mini peke tuto q hize en otra comunidad para entender mejor las html injections.
:xD como os digo siempre, si alguien sabe k me ekivoke en algo avisarme , para corregirlo :=).

Saludos¡


Las Html Injection, es un fallo muy comun en los programadores, que no tienen mucha referencia de las malas intenciones de los usuarios, ellos simplemente hacen que funcione- Pero no se fijan en la Seguridad.

Filtros Php para no Interpretar Codigo Html y Dejarlo en Texto Plano.

htmlentities


Veremos Primero un Caso Vulnerable y Luego como Solucionarlo.

Anexo:
Para Poder Entender el Codigo es Necesario lo Basico de Html, y los tipos de Envio de las Cabezeras Http, Get, Post.


Ej Real:

- Creamos un Formulario Tipico Vulnerable:

<HTML>
<BODY>
<FORM METHOD="post" ACTION="resive.php">
<p align="center">&nbsp;</p>
<p align="center"><strong>Injeccion Html By OzX [New-Bytes/NuKe] </strong></p>
<p align="center">
  <input type="text" name="nombre" size="30" value="Ingresa Tu Codigo Html">
</p>
<p align="center">
  <input type="submit" value="Enviar" name="enviar">
</p>
</FORM>
</BODY>
<HTML>


- Resive.Php

<html>
<body>
<center>
<?
echo  $_POST['nombre'] ."<br>";
echo "<a href='index.php'>volver</a>"
?>
</center>
</body>
</html>


- Resultado:




- Ahora Ingresamos un Codigo Html.
<center><br><br><br><font size=10>OZX INJECCIONES HTML</font></center>

- Resultado:



- Porque Pasa Esto?

- Podriamos Decir que El formulario Antes Posteado (codigo) Tiene por Defecto habilitado Html, por lo Cual hay que decirle que no Permita Codigos Html, y Que estos Sean Transformados en Texto Plano, Mas bien "Convertir" el Codigo en Texto Plano.
Sin Su Interpretacion en Html.

- Entonces Si este fuese Un Libro de Visitas , en donde registre toda esta informacion en una base de datos, y esta luego sea llamada, los codigos, van a ser "interpretadoS" y la Injeccion Html Tendra Efecto.


Ahora veamos como Solucionarlo.

Index.php = Donde esta el Formulario
Resive.php = Donde Llegan los Datos y Son Mostrados.


Editamos Resive.php y Editamos y Agregamos lo Siguiente:

<html>
<body>
<? $codigo=htmlentities($_POST['nombre']); //ANTI HTML INJECTIONS?>
<center>

<?
echo "<b>Sin htmlentities</b>: ". $_POST['nombre'] ."<br>";
echo "<b>Con htmlentities</b>: "."$codigo";
echo "<a href='index.php'><br>volver</a>"
?>
</center>
</body>
</html>


Explicacion:

- <?   $codigo=htmlentities($_POST['nombre']); //ANTI HTML INJECTIONS?>

- Con htmlentities, Dejamos toda La informacion Introducida en el Formulario, en Texto Plano, Asi no Tendra ningun Efecto en la Pagina.

Luego:

echo "<b>Sin htmlentities</b>: ". $_POST['nombre'] ."<br>";l

- Aqui Mostramos Directamente sin el Filtro HtmlEntities, y Asi El Codigo Htm Sera Interpretado en la Plataforma del Navegador.

Siguiente Linea:

echo "<b>Con htmlentities</b>: "."$codigo";

- Aqui se Aplica el Filtro, y Llamamos a la Variable Codigo, que tiene el Filtro Incorporado.


- Resultado:



By OzX