Hola a todos como estan , soy nuevo en el foro, me estoy iniciando en la programacion php!
Actualmente estoy creando una web de pruebas para ir adquiriendo conocimientos de PHP.
Y quiero comenzar por la seguridad.
Actualmente la web cuenta con un formulario de registro y un login, y el motivo del siguiente post es para retarlos a que hagan distintos tipos de injecciones a mi web y decirme cuales funcionan, cuales no, el nivel de seguridad y sugerencias.
Espero que nos llevemos bien, solo quiero aprender php y estoy comenzando como cualquiera :).
Web: http://test.vznetwork.net
"Obtengan mi ID y Password de esa web".
Feliz tarde!
Pues no se de seguridad pero... yo te recomiendo que la validación de campos la hagas con jQuery o de perdida con javascript, ya que si no completas correctamente el formulario te marca error y tienes que volver a cargar los campos xD
También le faltan los index.html en cada carpeta, como la del CSS: http://test.vznetwork.net/css/
lo del index en cada carpeta esta demas ya que existen otras maneras de restringir el accseso pero creo que no leistes bien el mensaje.
lo que quiero saber es si pueden hacer un injeccion y de ser asi hacerla.
de todas formas gracias por tu comentario tienes razon! saludos.
No quisiera gastar mi tiempo buscando, quizás si pusieras el código sería mejor... :/
Por un error se que tu página está en c appserv test
http://test.vznetwork.net/index.php?op=logout eso está mal, te puedo cerrar tu cuenta sin que sepas como solo siendo megah4x0r hasta con una imagen.
Sin en código me da paja ver algo más
Aps http://test.vznetwork.net/index.php?op=member xD
Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos
Y quita los respaldos de tu smf http://vznetwork.net/index.php~
Gracias por lo del SMF amigo.
pero bueno la pregunta del millon puedes injectar a la DB?
usando el formulario de registro y login?
como ya les explique es un test para probar si pueden injectarse atraves del formulario registro y login.
al amigo que pidio el codigo, se supone que la parte del reto es descubrir los puntos debiles de la pagina y explicarlos.
sin embargo gracias por las sugerencias las tomare en cuenta mas adelante saludos.
Con el código es más fácil ayudarte. Yo me metí a jugar desde el celular no más pero no le dedicaria más tiempo tampoco xD
Cita de: jdc en 6 Mayo 2011, 08:35 AM
Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos
Te acordas janito? http://skydrive.cl/wp-includes/js/
De hecho: http://skydrive.cl/wp-includes/theme.php
Seeh lo se, tengo 2 xss también, uno de ellos es persistente así que si lo encuentras se bloquea la página completa y queda mandando a google ñ_ñ
Hay varios más castg sigue buscando. XD
Bienvenido stivenx, aunque no entiendo porque no mejor poner el codigo del form de login y tales que mencionas asi mismo podriamos mas facil ayudar a hacer mejor la proteccion antisql, y si lo se esque sea un reto pero no seria mas rapido y eficiente si lo vemos directamente ?
P.D. Bienvenido de nuevo al foro n_n, ahi aveces juego VzGunZ.
Cita de: jdc en 6 Mayo 2011, 08:39 AM
Y quita los respaldos de tu smf http://vznetwork.net/index.php~
estoy convencido que deber haber algun script "on the wild" que te compruebe para cada archivo visible (por ejemplo @ google hacking) si existe su respaldo en el servidor...
alguien lo tiene o toca ronda de python?
thanks!