[RETO] Seguridad PHP

Iniciado por stivenx, 5 Mayo 2011, 23:19 PM

0 Miembros y 3 Visitantes están viendo este tema.

stivenx

Hola a todos como estan , soy nuevo en el foro, me estoy iniciando en la programacion php!

Actualmente estoy creando una web de pruebas para ir adquiriendo conocimientos de PHP.

Y quiero comenzar por la seguridad.

Actualmente la web cuenta con un formulario de registro y un login, y el motivo del siguiente post es para retarlos a que hagan  distintos tipos de injecciones a mi web  y decirme cuales funcionan, cuales no,  el nivel de seguridad y sugerencias.


Espero que nos llevemos bien, solo quiero aprender php y estoy comenzando como cualquiera :).

Web: http://test.vznetwork.net

"Obtengan mi ID y Password de esa web".

Feliz tarde!


merolhack

Pues no se de seguridad pero... yo te recomiendo que la validación de campos la hagas con jQuery o de perdida con javascript, ya que si no completas correctamente el formulario te marca error y tienes que volver a cargar los campos xD

También le faltan los index.html en cada carpeta, como la del CSS: http://test.vznetwork.net/css/
PHP Web Developer
Joomla, jQuery, MySQL, CSS, etc...

Android APP Developer http://android-dev.tumblr.com/

stivenx

lo del index en cada carpeta esta demas ya que existen otras maneras de restringir el accseso pero creo que no leistes bien el mensaje.

lo que quiero saber es si pueden hacer un injeccion y de ser asi hacerla.

de todas formas gracias por tu comentario tienes razon! saludos.

Shell Root

No quisiera gastar mi tiempo buscando, quizás si pusieras el código sería mejor... :/
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

jdc

Por un error se que tu página está en c appserv test

http://test.vznetwork.net/index.php?op=logout eso está mal, te puedo cerrar tu cuenta sin que sepas como solo siendo megah4x0r hasta con una imagen.

Sin en código me da paja ver algo más

Aps http://test.vznetwork.net/index.php?op=member xD

jdc

Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos

jdc


stivenx

Gracias por lo del SMF amigo.

pero bueno la pregunta del millon puedes injectar a la DB?

usando el formulario de registro y login?

como ya les explique es un test para probar si pueden injectarse atraves del formulario registro y login.

al amigo que pidio el codigo, se supone que la parte del reto es descubrir los puntos debiles de la pagina y explicarlos.

sin embargo gracias por las sugerencias las tomare en cuenta mas adelante saludos.


jdc

Con el código es más fácil ayudarte. Yo me metí a jugar desde el celular no más pero no le dedicaria más tiempo tampoco xD

Castg!

Cita de: jdc en  6 Mayo 2011, 08:35 AM
Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos

Te acordas janito? http://skydrive.cl/wp-includes/js/

De hecho: http://skydrive.cl/wp-includes/theme.php