Hackeo javascript

Hola

Recientemente me hackearon una web, y me dijeron que podia ser por un agujero de seguridad en el javascript. En la web tengo el codigo del Analytics y el codigo de validacion de un formulario de contacto.

Me podeis decir si es posible hackear una web a traves del javascript? Como se puede evitar?

Gracias y un saludo

si validas sólo con javascript, es simple: envias el post hacia el server y ya!, debes de validar en el servidor, es más lento, pero más seguro.

Lo más importante es validar las inyecciones sql, para ello debes escapar las comillas simples y caracteres como --, #

Gracias por la respuesta

Tengo una funcion para limpiar todos los request, y asi evitar las inyecciones sql. Pero hoy, despues de restaurar la web, me ha vuelto a atacar este individuo. Directamente sustituye mi index.asp por otro suyo, diciendome que me ponga en contacto con el.

Me podeis echar una mano? Esto me empieza a preocupar...

Gracias

eso es que tienes el ftp abierto, cámbiale la clave.

también puede ser que tengas una inyección de upload, en donde no valides la extensión del archivo subido, puede subir un *.asp y ejecutarlo, intenta quitar los permisos de escritura al index.asp a ver si puede xD

Hola maycol

La web no tiene ningun upload. Le cambie la clave al FTP, a ver.... Y lo de los permisos de escritura no se me habia ocurrido. Lo voy a hacer ahora mismo. Espero que no vuelva a tocarme los .....

Gracias por la ayuda

Un saludo

bien, espero que con eso baste, trata de usar SSH (o algo similar) cuando te conectes vía FTP para así evitar que te roben la clave de nuevo, es más lento pero mas seguro

lo de quitar los permisos de escritura no sirve si el susodicho tiene acceso vía ftp, es para controlar los uploads, de todas formas haslo por seguridad, pero si tienes un archivo de access mdb no le debes de quitar los permisos de escritura o si no, no podrás insertar ni modificar en la base, a menos que uses sqlServer o mysql que no tendrías problema con ello.

Una vez mas.... GRACIAS!!