Foros del Web » Creando para Internet » HTML »

input hidden? error en el formulario?

Estas en el tema de input hidden? error en el formulario? en el foro de HTML en Foros del Web. Segun un wargame, esta pagina tiene un bug, que permite entrar con los permisos de admin. Vi una linea en el codigo fuente, que me ...
  #1 (permalink)  
Antiguo 27/12/2010, 18:55
 
Fecha de Ingreso: diciembre-2010
Mensajes: 10
Antigüedad: 14 años
Puntos: 0
input hidden? error en el formulario?

Segun un wargame, esta pagina tiene un bug, que permite entrar con los permisos de admin. Vi una linea en el codigo fuente, que me parecio un tanto rara. Quiiera su opinion si esta mal o no el codigo
Código:
<html>
<head>
<title>Pequeño Script</title>
</head>
<body>

<form method="GET">
Usuario: <input type="text" name="usr">
Passwd: <input type="password" name="pass">
<input type="hidden" name="admin" value="0">
<input type="submit" value="Entrar" name="log">
<input type="submit" value="Registrarse" name="reg">
</form>

<a href="http://www.google.com">Olvidaste la Contraseña?</a>
</body>
</html>
  #2 (permalink)  
Antiguo 27/12/2010, 19:00
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 16 años, 4 meses
Puntos: 1532
Respuesta: input hidden? error en el formulario?

obviamente si modificas el value a 1 y que esto represente en el servidor entrar como admin representa un fallo grave y tonto de seguridad.

se supone que tal verificación debe estar en el servidor, es decir que en la tabla en donde se guarden los usuarios exista un capo que diga si es admin o no, así no tendría que tenerse ese input oculto.
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...
  #3 (permalink)  
Antiguo 27/12/2010, 19:00
Avatar de GAST0N  
Fecha de Ingreso: agosto-2010
Ubicación: Buenos Aires
Mensajes: 680
Antigüedad: 14 años, 3 meses
Puntos: 64
Respuesta: input hidden? error en el formulario?

Cita:
Iniciado por kenkox Ver Mensaje
Segun un wargame, esta pagina tiene un bug, que permite entrar con los permisos de admin. Vi una linea en el codigo fuente, que me parecio un tanto rara. Quiiera su opinion si esta mal o no el codigo
Código:
<html>
<head>
<title>Pequeño Script</title>
</head>
<body>

<form method="GET">
Usuario: <input type="text" name="usr">
Passwd: <input type="password" name="pass">
<input type="hidden" name="admin" value="0">
<input type="submit" value="Entrar" name="log">
<input type="submit" value="Registrarse" name="reg">
</form>

<a href="http://www.google.com">Olvidaste la Contraseña?</a>
</body>
</html>
es un campo oculto , seguramente lo pasa por la url ya que lo manda por metodo GET , es como un campo normal , solo que no se ve ,

vaya seguridad tiene jajaja
__________________
Twitter: @GastonArnedo

Muerte a los <tr> y <td>
  #4 (permalink)  
Antiguo 27/12/2010, 19:10
 
Fecha de Ingreso: diciembre-2010
Mensajes: 10
Antigüedad: 14 años
Puntos: 0
Respuesta: input hidden? error en el formulario?

Osea cambiando el valor por 1? que sucederia?

Lo que sucede es que es una pagina html basica, el cual contiene ese formulario, y segun el wargame, tiene un bug que permite entrar con permisos de administrador, pero se en lo absoluto como. En si, si esta mal planteado ese formulario o no?
  #5 (permalink)  
Antiguo 27/12/2010, 19:38
Avatar de emprear
Colaborador
 
Fecha de Ingreso: junio-2007
Ubicación: me mudé
Mensajes: 8.388
Antigüedad: 17 años, 5 meses
Puntos: 1567
Respuesta: input hidden? error en el formulario?

El código que pusiste en realidad no representa nada, el form ni siquiera tiene definido un actión, y si lo tuviese, es poco lo que se puede decir si no se analiza la página que lo procese


Saludos
__________________
La voz de las antenas va, sustituyendo a Dios.
Cuando finalice la mutación, nueva edad media habrá
S.R.
  #6 (permalink)  
Antiguo 27/12/2010, 23:13
Avatar de maycolalvarez
Colaborador
 
Fecha de Ingreso: julio-2008
Ubicación: Caracas
Mensajes: 12.120
Antigüedad: 16 años, 4 meses
Puntos: 1532
Respuesta: input hidden? error en el formulario?

exactamente, el form puede contener ese input, pero depende de si el código del lado del servidor lo tenga en cuenta, si no lo hace y lo ignora no existe tal falla.
__________________
¡Por favor!: usa el highlight para mostrar código
El que busca, encuentra...

Etiquetas: hidden, input, formulario
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:43.