Tema: Sitio Web Hackeado
Ver Mensaje Individual
  #5 (permalink)  
Antiguo 01/09/2014, 23:49
DesgraciadoGabo
 
Fecha de Ingreso: julio-2014
Mensajes: 179
Antigüedad: 9 años, 9 meses
Puntos: 26
Respuesta: Sitio Web Hackeado
Los scripts así como los muestras no veo seguridad.

Si tienes acceso a una maquina con SO Windows puedes descargar WebCruiser, este software lo que hará es escanear tu sitio y en caso de que algún script sea vulnerable te lo reportará.

Te doy una explicación de como es que llegan a efectuar un ataque, MAS O MENOS, no soy un experto en esto aun que como quisiera serlo :( ja

Un upload con una vulnerabilidad permite subir cualquier archivo, dependerá del nivel de seguridad, pero lo que tu usas para subir imágenes alguien más lo podrá usar para subir un .php

Por medio de "inyecciones" (SQLi) a tus consultas con la base de datos, es que pueden lograr extraer información que te puede dar acceso al panel de administración, incluso WebCruiser puede hacer eso por ti... Ahora imagínate que lo logra hacer webcruiser y tu área de administración se llama tusitio.com/admin

Puedes hacer una prueba, si en tu sitio tienes direcciones tipo index.php?id=4 agrégale una comilla simple al final ['] quedando así: index.php?id=4' y si la respuesta que te arroja es:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1

Por ejemplo este sitio: http://www.gepl.net/content.php?id=77 agrégale la comilla simple al final de la url y veras una vulnerabilidad en su código.

Otro tipo de vulnerabilidad es el XSS, al cual por medio de la URL o un buscador podremos inyectar código js o html, por ejemplo este sitio, al cual le reporte hace tiempo dicha vulnerabilidad:
http://iept.com.mx/es/novedad_detalle.php?id=52

Si le agregas "><h1>Soy un Juacker<noscript> la url quedaría:
http://iept.com.mx/es/novedad_detalle.php?id=52"><h1>Soy un Juacker<noscript>

taran!! vulnerabilidad expuesta.

Existen muchas formas, la verdad como te digo no soy un experto en este tema, pero como te digo escanea tu sitio con ese software y si te tira errores ve puliendo tu código, aquí en el foro hay mucha gente que puede ayudar yo incluido entre ellos!

Te reitero:
Lee un poco de htmlentities, addslashes, comillas magicas estas funciones te ayudarán para limpiar los registros del usuario.

Busca en google ¿Cómo evitar ataques XSS? ¿Como evitar SQL inyection php?

La pagina de php habla de las inyecciones:
http://php.net/manual/es/security.database.sql-injection.php

Te mando un saludo.
__________________
Si haces las cosas como nadie las ha hecho, cobralas bien, si las vas a hacer como todos las han hecho, cobralas bien!!
MecanizandoWeb.com