13/08/2012, 12:58
|
|
duda inyeccion codigo malicioso hola amigos veran tengo una gran duda
para que un usuario a traves de un formualrio simple pueda inyectar codigo para que se ejecute en otras maquinas debe de escribir en el archivo verdad¿?¿
es decir siempre que nos refiramos a xss, inyeccion codigo malicios nos referimos a que el atacante a conseguido de la forma que sea escribir en un archivo??¿? para ejecutar su script
si yo hago un simple alert ami en mi pantalla me lo muestra pero para ejecutarlo en la maquina de un cliente es necesario escribir en el archivo o no , es decir por muchos codigos que inserte a traves del post y ninguno de ellos escriben en algun archivo nunca se podra ejecutar nada en la maquina de otro usuario o si?¿?
XSS Shell (tal vez conocido de otras formas) es un ataque donde el atacante puede manipular el browser de la víctima a través de un set de comandos, durante el tiempo que la víctima mantenga abierta la página afectada.(pagina afectada nos referimos a donde el usuario escribio la parte del codigo??¿?¿)
para que esto se produzca es necesario escribir en el archivo o no es necesario¿??
tengo bastantes dudas con estos temas yo he probado muchos codigos y obviamnete a mi se me ejecutan pero los ejemplos que probe decian que asi se infectaba a los demas usuarios mandarles a otra pagina etc...tal.tal... vale pero no especifica que se debe escribir (decian que incluyendo el codigo tal cual ya estaba pero en ningun momento me a escrito en el archivo ni hacian referencia a una pagina por lo que me imagino que no hara falta escribir y hay mi duda)en el archivo la parte de codigo o si x el contrario al ejecutar el script en el form ya todos los uaurios se ven afectados (no pongo los ejemplos por que son los mas conocidos)
muchas gracias de antemano y espero me puedan ayudar
no intento que me ayuden para poder inyectar codigo , lo que quiero es neutralizarlo que quede muy claro , ni quiero ejemplos solo si me pueden responder a las preguntas
lo que me psas es que estoy haciendo un script que hasea todos mis archivos los guarda en un archivo para despues comparar y despues los escanea segun los abrimos los compara y busca modificaciones esto es para evitar el xss pero ahora pienso que alomejor no es efectivo¿?¿ ademas de escapar todos los datos etc... es una medida extra que quiero implementar
espero haberme explicado bien
Última edición por webankenovi; 13/08/2012 a las 13:37 |