Foros del Web » Programando para Internet » PHP »

[SOLUCIONADO] duda inyeccion codigo malicioso

Estas en el tema de duda inyeccion codigo malicioso en el foro de PHP en Foros del Web. hola amigos veran tengo una gran duda para que un usuario a traves de un formualrio simple pueda inyectar codigo para que se ejecute en ...
  #1 (permalink)  
Antiguo 13/08/2012, 12:58
webankenovi
Invitado
 
Mensajes: n/a
Puntos:
duda inyeccion codigo malicioso

hola amigos veran tengo una gran duda

para que un usuario a traves de un formualrio simple pueda inyectar codigo para que se ejecute en otras maquinas debe de escribir en el archivo verdad¿?¿

es decir siempre que nos refiramos a xss, inyeccion codigo malicios nos referimos a que el atacante a conseguido de la forma que sea escribir en un archivo??¿? para ejecutar su script

si yo hago un simple alert ami en mi pantalla me lo muestra pero para ejecutarlo en la maquina de un cliente es necesario escribir en el archivo o no , es decir por muchos codigos que inserte a traves del post y ninguno de ellos escriben en algun archivo nunca se podra ejecutar nada en la maquina de otro usuario o si?¿?


XSS Shell (tal vez conocido de otras formas) es un ataque donde el atacante puede manipular el browser de la víctima a través de un set de comandos, durante el tiempo que la víctima mantenga abierta la página afectada.(pagina afectada nos referimos a donde el usuario escribio la parte del codigo??¿?¿)

para que esto se produzca es necesario escribir en el archivo o no es necesario¿??

tengo bastantes dudas con estos temas yo he probado muchos codigos y obviamnete a mi se me ejecutan pero los ejemplos que probe decian que asi se infectaba a los demas usuarios mandarles a otra pagina etc...tal.tal... vale pero no especifica que se debe escribir (decian que incluyendo el codigo tal cual ya estaba pero en ningun momento me a escrito en el archivo ni hacian referencia a una pagina por lo que me imagino que no hara falta escribir y hay mi duda)en el archivo la parte de codigo o si x el contrario al ejecutar el script en el form ya todos los uaurios se ven afectados (no pongo los ejemplos por que son los mas conocidos)

muchas gracias de antemano y espero me puedan ayudar

no intento que me ayuden para poder inyectar codigo , lo que quiero es neutralizarlo que quede muy claro , ni quiero ejemplos solo si me pueden responder a las preguntas

lo que me psas es que estoy haciendo un script que hasea todos mis archivos los guarda en un archivo para despues comparar y despues los escanea segun los abrimos los compara y busca modificaciones esto es para evitar el xss pero ahora pienso que alomejor no es efectivo¿?¿ ademas de escapar todos los datos etc... es una medida extra que quiero implementar



espero haberme explicado bien

Última edición por webankenovi; 13/08/2012 a las 13:37
  #2 (permalink)  
Antiguo 13/08/2012, 15:21
Avatar de alguienmas  
Fecha de Ingreso: mayo-2009
Mensajes: 62
Antigüedad: 15 años, 7 meses
Puntos: 8
Respuesta: duda inyeccion codigo malicioso

Hola veo que estas un poco perdido en el tema... Cuando tu hablas de XSS escritos en un archivo, te refieres a XSS estáticas. Estos sin duda son el tipo mas peligrosos pues pueden afectar a todos los visitantes de la pagina afectada, esta se produce cuando no validas apropiadamente los valores ingresados de un usuario.
Por ejemplo imagina un sistema de comentarios o un blog, las entradas del blog son presentadas de la siguiente manera:

Código PHP:
<div> <? echo $mensaje?> </div>
Entonces un atakante intentara subir un post que contendra el siguiente codigo

Código:
<script type="text/javascript">
      window.location="http:\\dominio_atakante.com" 
</script>
con la finalidad de cada ves que sea presentado su mensaje o entrada del blog, el codigo del mismo quede asi:

Código PHP:
<div>
<
script type="text/javascript">
      
window.location="http:\\dominio_atakante.com" 
</script>
</div> 
Otra variante es que la inyeccion no sea permanente, por ejemplo un cuadro de busqueda el que se pasa la palabra buscada a traves de GET

http://buscador.com?palabra=XXXXXX

donde muestras un cuadro que diga:
Código HTML:
<div>
   <h3> Resultados busqueda: <? echo $_GET['palabra'];?> </h3>

<!-- RESULTADOS DE LA BUSQUEDA -->
</div> 
En este caso igualmente puedes inyectar codigo, pero no sera permanente. Para poder hacer uso de esto debes enviar el enlace a la victima, quedando algo asi:


http://buscador.com?palabra=<script type="text/javascript">window.location="http:\\dominio_atakan te.com"</script>

Es importante saber que ambos metodos son peligrosos y deben ser evitados. Para mas info te dejo unos link

http://es.wikipedia.org/wiki/Cross-site_scripting
http://foro.elhacker.net/tutoriales_...-t32042.0.html
http://es.kioskea.net/contents/attaq...scripting.php3

Saludos.
  #3 (permalink)  
Antiguo 13/08/2012, 15:31
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 16 años, 4 meses
Puntos: 2237
Respuesta: duda inyeccion codigo malicioso

Aparte de lo mencionado por alguienmas, la inyección de código malicioso no implica necesariamente crear archivos en tu sitio, sino introducir códigos ejecutables (generalmente javascript) que tu script guarda en base de datos o archivo de texto (proceso normal) y después muestras en alguna página, como parte de la publicación (noticia, evento, comentario, etc.) y se ejecuta ese código en el cliente.

Ahora, crear archivos en tu sitio (lo que puede dar acceso para otras modificaciones) es posible si tienes un formulario para subir archivos (imágenes, canciones, etc.) y no lo tienes validado correctamente.

Cómo evitar lo primero?:
- Función para evitar XSS - Muy útil para limpiar todas las entradas manipulables por usuario
- Limpiar HTML - Si tienes cuadros de texto donde permites código HTML o texto enriquecido, aquí hay una pequeña guía para obtener un código adecuado que no rompa el diseño de tus páginas y también tiene opción para detectar XSS

Cómo evitar lo segundo?:
- Verifica la extensión del archivo que se subió. En teoría, con eso sería suficiente, en la práctica, hay otras cosas a revisar, pero puedes buscar en los aportes del foro, hay mucho material al respecto.
__________________
- León, Guanajuato
- GV-Foto
  #4 (permalink)  
Antiguo 17/08/2012, 11:24
webankenovi
Invitado
 
Mensajes: n/a
Puntos:
Respuesta: duda inyeccion codigo malicioso

muchas gracias por sus respuestas

Cita:
Iniciado por alguienmas Ver Mensaje
Hola veo que estas un poco perdido en el tema... Cuando tu hablas de XSS escritos en un archivo, te refieres a XSS estáticas. Estos sin duda son el tipo mas peligrosos pues pueden afectar a todos los visitantes de la pagina afectada,
e añado un script que como ya dije hashea todos los archivos y los guardo en un archivo despues este archivo vale para comparar con los mismos archivos en tiempo real y cualquier cambio salta el bloqueo de pagina con esto prevenimos xss estaticas creo si no me equivoco


muchas gracias a todos y saludos me resolvieron la duda

Última edición por webankenovi; 22/01/2013 a las 13:01

Etiquetas: inyección, malicioso, xss
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 05:42.