Mensajes: 7,178
Temas: 93
Registro en: Aug 2014
Reputación:
63
15/05/2019, 02:58 PM
(Última modificación: 15/05/2019, 02:59 PM por Hinami. Edited 1 time in total.)
Buenas estoy haciendo una página web con php html y css + mysql
Y pues tengo duda de que y como debo proteger mi página, es decir trabajo con una base de datos y para las inyecciones use escape_string de mysqli, y me gustaría saberYaprender de que cosas me debo proteger y como.
pregunto porque vi que destro inyectaba código al foro entonces me dio curiosidad saber.
Gracias por leer el tema.
Mensajes: 713
Temas: 32
Registro en: Jul 2014
Reputación:
19
Mensajes: 7,178
Temas: 93
Registro en: Aug 2014
Reputación:
63
15/05/2019, 06:59 PM
(Última modificación: 15/05/2019, 07:04 PM por Hinami. Edited 2 times in total.)
y en XSS yo guarde un código de destro, pero como se donde se puede insertar? ( osea que etiquetas se deben proteger? )
porque trate de insertarlo en un comentario <p>code...</p> y no anduvo
Pero si lo inserto en un IMG o A ahí si funciona porque carga la url guardada
quedo así
<a href="code..."></a>
a nada ya leí un poco más y si logre insertar más scripts xd
Mensajes: 2,094
Temas: 59
Registro en: Feb 2015
Reputación:
15
remplaza los <> por &alt; algo así o también existe unas funciones en php strip_tags/htmlspecialchars con eso puedes evitar el XSS, hablando del tema voy corriendo a fixear unos detalles
(18/11/2014, 05:47 PM)Neeeeeeeeeel.- escribió: Por qué necesitan una guía para todo? Meté mano y que salga lo que salga... es la mejor forma de aprender.
(16/05/2016, 11:08 PM)kikizon2 escribió: No cabe duda que tienen mierda en vez de cerebro, par de pendejos v:
Mensajes: 7,178
Temas: 93
Registro en: Aug 2014
Reputación:
63
15/05/2019, 07:31 PM
(Última modificación: 15/05/2019, 07:40 PM por Hinami. Edited 1 time in total.)
(15/05/2019, 07:30 PM)OsweRRR escribió: remplaza los <> por &alt; algo así o también existe unas funciones en php strip_tags/htmlspecialchars con eso puedes evitar el XSS, hablando del tema voy corriendo a fixear unos detalles
si ya había visto eso de strip_tags/htmlspecialchars gracias a lukks
&alt; es para proteger o atacar? xd ahora que leo bien xd
Mensajes: 4,247
Temas: 94
Registro en: Mar 2014
Reputación:
58
15/05/2019, 07:57 PM
(Última modificación: 15/05/2019, 08:01 PM por totopizza. Edited 6 times in total.)
(15/05/2019, 07:31 PM)Hypnotize escribió: (15/05/2019, 07:30 PM)OsweRRR escribió: remplaza los <> por &alt; algo así o también existe unas funciones en php strip_tags/htmlspecialchars con eso puedes evitar el XSS, hablando del tema voy corriendo a fixear unos detalles
si ya había visto eso de strip_tags/htmlspecialchars gracias a lukks
&alt; es para proteger o atacar? xd ahora que leo bien xd
< para <
> para >
&nbps; espacio
ñ ñ
Ñ Ñ
$ = vocal xd (a, e, i, o, u)
&$acute;
ejemplo:
á = á
Ú = Ú
© es ©
Si o si debe llevar el & al incio y ; al final.
https://ascii.cl/htmlcodes.htm
Estudia siempre; el tiempo es oro, lo material se puede recuperar pero el tiempo no se puede recuperar.
(02/10/2016, 05:05 PM)meTaLiCroSS escribió: Siempre me gusta ayudar cuando alguien esta interesado realmente en ver que esta programando. (08/08/2019, 05:32 PM)meTaLiCroSS escribió: grax x el dato cr4ck
Mis aportes
PLUGINSMAPAS
Menú LANG
[SF] Sistema de Frags
Say System (Admin Prefix)
Mensajes: 1,072
Temas: 57
Registro en: Feb 2016
Reputación:
8
Lo que hizo Destro es XSS [ Demostracion]
Básicamente para evitar esto, podes usar $_POST en vez de $_GET y ocultar el "?Get=exploit."
Mensajes: 7,178
Temas: 93
Registro en: Aug 2014
Reputación:
63
15/05/2019, 10:46 PM
(Última modificación: 15/05/2019, 10:46 PM por Hinami. Edited 1 time in total.)
(15/05/2019, 08:48 PM)Niper.-. escribió: Lo que hizo Destro es XSS [Demostracion]
Básicamente para evitar esto, podes usar $_POST en vez de $_GET y ocultar el "?Get=exploit."
a muchas gracias, eso si no lo sabía!
aunque no capte esto 'Get=exploit'
(15/05/2019, 07:57 PM)totopizza escribió: (15/05/2019, 07:31 PM)Hypnotize escribió: (15/05/2019, 07:30 PM)OsweRRR escribió: remplaza los <> por &alt; algo así o también existe unas funciones en php strip_tags/htmlspecialchars con eso puedes evitar el XSS, hablando del tema voy corriendo a fixear unos detalles
si ya había visto eso de strip_tags/htmlspecialchars gracias a lukks
&alt; es para proteger o atacar? xd ahora que leo bien xd
< para <
> para >
&nbps; espacio
ñ ñ
Ñ Ñ
$ = vocal xd (a, e, i, o, u)
&$acute;
ejemplo:
á = á
Ú = Ú
© es ©
Si o si debe llevar el & al incio y ; al final.
https://ascii.cl/htmlcodes.htm
eso es si no uso 'strip_tags/htmlspecialchars' ?
Mensajes: 4,247
Temas: 94
Registro en: Mar 2014
Reputación:
58
(15/05/2019, 10:46 PM)Hypnotize escribió: (15/05/2019, 08:48 PM)Niper.-. escribió: Lo que hizo Destro es XSS [Demostracion]
Básicamente para evitar esto, podes usar $_POST en vez de $_GET y ocultar el "?Get=exploit."
a muchas gracias, eso si no lo sabía!
aunque no capte esto 'Get=exploit'
(15/05/2019, 07:57 PM)totopizza escribió: (15/05/2019, 07:31 PM)Hypnotize escribió: (15/05/2019, 07:30 PM)OsweRRR escribió: remplaza los <> por &alt; algo así o también existe unas funciones en php strip_tags/htmlspecialchars con eso puedes evitar el XSS, hablando del tema voy corriendo a fixear unos detalles
si ya había visto eso de strip_tags/htmlspecialchars gracias a lukks
&alt; es para proteger o atacar? xd ahora que leo bien xd
< para <
> para >
&nbps; espacio
ñ ñ
Ñ Ñ
$ = vocal xd (a, e, i, o, u)
&$acute;
ejemplo:
á = á
Ú = Ú
© es ©
Si o si debe llevar el & al incio y ; al final.
https://ascii.cl/htmlcodes.htm
eso es si no uso 'strip_tags/htmlspecialchars' ?
Sí, pero de igual forma, utiliza esas funciones, son mas seguras.
Y también para HTML, porque a veces las tildes no salen entonces tu solamente colocas: Verificación
Estudia siempre; el tiempo es oro, lo material se puede recuperar pero el tiempo no se puede recuperar.
(02/10/2016, 05:05 PM)meTaLiCroSS escribió: Siempre me gusta ayudar cuando alguien esta interesado realmente en ver que esta programando. (08/08/2019, 05:32 PM)meTaLiCroSS escribió: grax x el dato cr4ck
Mis aportes
PLUGINSMAPAS
Menú LANG
[SF] Sistema de Frags
Say System (Admin Prefix)
Mensajes: 1,072
Temas: 57
Registro en: Feb 2016
Reputación:
8
lo de Get es igual a exploit es por esto. Te hago un ejemplo:
Código PHP: //Ejemplo, un plugin de sXeBans, en el cual pones el nombre, te da como resultado el baneado con su información. $_GET['sXeBan']; //Code de PHP usando GET. //En nuestra url de la pagina sería.. //www.example.com?sXeBan=PEPE; //Entonces, PEPE es un ya "baneado" del servidor y con ese url, tendríamos la información de su ban. Ahora, aplicando el exploit.. //www.example.com?sXeBan=(<script>alert("Exploit")</script>); //Ejecutamos XSS
$_POST (Como se usa)
$_GET (Como se usa)
Mensajes: 4,637
Temas: 73
Registro en: Oct 2013
Reputación:
44
Investigá sobre DDoS sobre capa 7 también.
|