Podeis hacer un scanner de vulnerabilidades de mi web...

Iniciado por nnooxx, 25 Marzo 2010, 15:42 PM

0 Miembros y 1 Visitante están viendo este tema.

nnooxx

Queria que alguien con un poco de experiencia hiciera un scanner de vulnerabilidades ya que mi escanner no me deja actuar sobre localhost algun voluntario de confianza y mando la pagina por mp muchas gracias a todos de antemano.

alexkof158

"noproxy"

jdc

Subela a un servidor gratuito como 000webhost.com y posteas la dirección, aunque sí postearas el código sería mas fácil :)

Espero que sea dinámica y no un index.html xD

nnooxx

es un dominio no-ip por eso quiero que sea seguro 100% antes de darlo a conocer XD codigo fuente:

Código (html) [Seleccionar]
<html>
<head><title>PrivateDown</title>
<script lenguage="javascript">
password=prompt("Escriba su clave y pulse 'Aceptar'","");
while(password!="password"){
alert("La clave facilitada no es valida");
password=prompt("Escriba su clave","");
}
</script>
</head>
<body background="fondo1.png" bgproperties="fixed" text="#FFFFFF">
<hr size=2>
<p align=center>Esta p&aacute;gina es un espacio de uso privado y reservado</p>
<hr size=2>
<h1>Juegos:</h1>

<a href="http://miweb/descargas/psp"><h2>PSP</h2></a>
<h1>Media:</h1>
<a href="http://miweb/descargas/musica/OI!"><h2>Descarga OI!</h2>
<a href="http://miweb/descargas/musica/Ska"><h2>Descarga Ska</h2>
<a href="http://miweb/descargas/peliculas"><h2>Pel&iacute;culas</h2></a>
<h1>Papers:</h1>
<a href="http://miweb/papers"><h2>Informatica</h2></a>
<hr size=2>
<b><u>Toda la informacion recopilada en esta pagina web es para uso personal.</b></u><br>

<b><u>Y bajo ning&uacute;n concepto se permite la exposici&oacute;n de esta sin el consentimiento del staff de PrivateDown<sup>TM</sup>.</b></u>
<hr size=2>
<!-- Begin Contador de Visitas Code -->
<script type="text/javascript" src="http://www.usuarios-online.com/usuarios.php?v=miweb"></script> usuarios online <noscript><a href="http://www.juegosflasher.com">juegos flash</a> - <a href="http://www.wanuncios.com">anuncios</a> - <a href="http://www.juegosparati.com">juegos</a> - <a href="http://www.buenamusicagratis.com">musica</a> - <a href="http://www.wprogramas.com">programas</a> - <a href="http://www.buenosjuegosgratis.com">juegos gratis</a> - <a href="http://www.usuarios-online.com">contador</a></noscript>
<!-- End Contador de Visitas Code -->
<address>Consultas en: micorreo@hotmail.com</address>
</body></html>


jdc

Es tan segura como las playas chilenas xD

De echo se parece a una prueba de warzone, el javascript se ejecuta en el lado del cliente por lo que no se puede evaluar con js un password. Sólo con ver el código fuente ya podrán entrar.

nnooxx

y que deberia hacer soy nuevo en programacion en html y demas

WHK

Codear el acceso de algo en html es lo mas inseguro que puede existir ya que el html se ejecuta al lado del cliente.

Lo que debes hacer es crear algún sistema de validación que se ejecute en el servidor (o sea que no lo vea el explorador).

Me explico, digamos que tu html está en un servidor gratuito por ahi, cuando abres tu explorador web ya sea internet explorer, firefox o lo que sea y escribes arriba http://mipagina.com/ lo que hace el explorador es primero conectarse al servidor "mipagina.com" al puerto 80, luego el explorador le envía un texto que es la instrucción y se llama petición, esta petición le indica al servidor que es lo que quieres ver.
cuando tu explorador solicita el archivo html el servidor lo toma y te lo entrega como si fuera un simple texto y tu explorador es el que se encarga de interpretar todo ese texto y dibujar por ejemplo una imagen, que las letras aparezcan de negro o de rojo, etc, eso lo hace el explorador y no el servidor, el servidor solamente te entrega el texto nada mas.

Cuando tu acceso lo haces via html el que interpreta el código de javascript es tu explorador, el servidor solo te entrega el texto nada mas por lo tanto el que se va a encargar de la seguridad de tu acceso en este caso es tu explorador.

Ahora que pasa si yo manipulo mi explorador o me hago un programa que sea similar al explorador para que interprete la clave como yo quiera?, el servidor en este caso perdería el control del acceso y eso es malo, aparte de que cualquiera podería ver el código fuente de la web y observar la contraseña no crees?.

Hay archivos que no son html y son php, cgi, asp, etc, estos archivos se ejecutan al lado del servidor y no del cliente.
Por ejemplo si yo en un archivo php escribo esto:

Código (php) [Seleccionar]
<?php
 
if($_POST['clave'] == 'elhacker.net'){
  echo 
'acceso ok';
 }else{
  echo 
'no tienes acceso';
 }
?>


este código cuando lo abras con tu explorador no se verá, porque el código ya no lo va a interpretar tu explorador sino el servidor, tampoco podrás ver su código fuente asi que el visitante está obligado a pasar por ese validador.

En resumidas, te recomiendo que aprendas otro lenguaje web que sea dinámico (php es el mas fácil) ya que con ese validador que tienes en javascript no vas a llegar a ningún lado.


tragantras

Cita de: janito24 en 25 Marzo 2010, 18:39 PM
Es tan segura como las playas chilenas xD

De echo se parece a una prueba de warzone, el javascript se ejecuta en el lado del cliente por lo que no se puede evaluar con js un password. Sólo con ver el código fuente ya podrán entrar.

jaja ya ves eh, me a recordado a los warzone estos de level 1 xD
Colaboraciones:
1 2