[RETO] Seguridad PHP

stivenx · 5 Mayo 2011, 23:19 PM

Hola a todos como estan , soy nuevo en el foro, me estoy iniciando en la programacion php!

Actualmente estoy creando una web de pruebas para ir adquiriendo conocimientos de PHP.

Y quiero comenzar por la seguridad.

Actualmente la web cuenta con un formulario de registro y un login, y el motivo del siguiente post es para retarlos a que hagan distintos tipos de injecciones a mi web y decirme cuales funcionan, cuales no, el nivel de seguridad y sugerencias.

Espero que nos llevemos bien, solo quiero aprender php y estoy comenzando como cualquiera

.

Web: http://test.vznetwork.net

"Obtengan mi ID y Password de esa web".

Feliz tarde!

merolhack · 6 Mayo 2011, 01:11 AM

Pues no se de seguridad pero... yo te recomiendo que la validación de campos la hagas con jQuery o de perdida con javascript, ya que si no completas correctamente el formulario te marca error y tienes que volver a cargar los campos xD

También le faltan los index.html en cada carpeta, como la del CSS: http://test.vznetwork.net/css/

stivenx · 6 Mayo 2011, 02:41 AM

lo del index en cada carpeta esta demas ya que existen otras maneras de restringir el accseso pero creo que no leistes bien el mensaje.

lo que quiero saber es si pueden hacer un injeccion y de ser asi hacerla.

de todas formas gracias por tu comentario tienes razon! saludos.

Shell Root · 6 Mayo 2011, 05:02 AM

No quisiera gastar mi tiempo buscando, quizás si pusieras el código sería mejor... :/

jdc · 6 Mayo 2011, 08:33 AM

Por un error se que tu página está en c appserv test

http://test.vznetwork.net/index.php?op=logout eso está mal, te puedo cerrar tu cuenta sin que sepas como solo siendo megah4x0r hasta con una imagen.

Sin en código me da paja ver algo más

Aps http://test.vznetwork.net/index.php?op=member xD

jdc · 6 Mayo 2011, 08:35 AM

Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos

jdc · 6 Mayo 2011, 08:39 AM

Y quita los respaldos de tu smf http://vznetwork.net/index.php~

stivenx · 6 Mayo 2011, 15:27 PM

Gracias por lo del SMF amigo.

pero bueno la pregunta del millon puedes injectar a la DB?

usando el formulario de registro y login?

como ya les explique es un test para probar si pueden injectarse atraves del formulario registro y login.

al amigo que pidio el codigo, se supone que la parte del reto es descubrir los puntos debiles de la pagina y explicarlos.

sin embargo gracias por las sugerencias las tomare en cuenta mas adelante saludos.

jdc · 6 Mayo 2011, 16:07 PM

Con el código es más fácil ayudarte. Yo me metí a jugar desde el celular no más pero no le dedicaria más tiempo tampoco xD

Castg! · 11 Mayo 2011, 00:38 AM

Cita de: jdc en 6 Mayo 2011, 08:35 AM
Ah y por cierto lo del index en cada carpeta no está de más, es un error de novatos. Saludos

Te acordas janito? http://skydrive.cl/wp-includes/js/

De hecho: http://skydrive.cl/wp-includes/theme.php