Comments on: Ataques XSS: el peligro de hacer echo $_GET[’var’] http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/ AJAX, HTML, PHP5 y otros vicios... Fri, 10 Sep 2010 02:33:07 +0000 http://wordpress.org/?v=2.2.2 By: Blasther http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-8477 Blasther Mon, 14 Jun 2010 22:22:54 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-8477 En realidad esta bastabte bueno esto de los Ataques XSS, pero me pregunto, ya que no soy muy ducho en esto, (aunque me en cantan), si en realidad puedo con uno cambiar el interfas o la portada de una web con ellos En realidad esta bastabte bueno esto de los Ataques XSS, pero me pregunto, ya que no soy muy ducho en esto, (aunque me en cantan), si en realidad puedo con uno cambiar el interfas o la portada de una web con ellos

]]> By: Yaxyry http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-7973 Yaxyry Thu, 01 Apr 2010 00:49:52 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-7973 Yo quito el HTML de las variables del form con strip_tags() pero aun asi creo que tendre que tomar mas medidas xD $miVar=strip_tags($_GET["var"]); Y nunca pongo los valores directamente en la var, mejor les pongo un mumero y luego hago switch. Yo quito el HTML de las variables del form con strip_tags() pero aun asi creo que tendre que tomar mas medidas xD

$miVar=strip_tags($_GET[”var”]);

Y nunca pongo los valores directamente en la var, mejor les pongo un mumero y luego hago switch.

]]> By: User http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-7659 User Sun, 24 Jan 2010 22:35:13 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-7659 alert(/HOLA:D/) alert(/HOLA:D/)

]]> By: FCR http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-7574 FCR Sat, 09 Jan 2010 02:59:33 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-7574 No tenia idea de lo peligroso que podia ser, por eso parece que recomiendan separar el html del PHP No tenia idea de lo peligroso que podia ser, por eso parece que recomiendan separar el html del PHP

]]> By: Demo http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-6397 Demo Sat, 07 Nov 2009 01:57:14 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-6397 location.href="http://www.google.com" %3Cscript%3Elocation.href="http://www.google.com"%3C/script%3E %3C?php header%28'Location: http://www.google.com'29%; ?%3E ¿estás protegido? location.href=”http://www.google.com”

%3Cscript%3Elocation.href=”http://www.google.com”%3C/script%3E
%3C?php header%28′Location: http://www.google.com‘29%; ?%3E
¿estás protegido?

]]> By: hcalmur http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-4646 hcalmur Wed, 29 Jul 2009 21:15:52 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-4646 Siguiendo el tutorial al pie de la letra no me sale XSS, ya desactive y reinicio mi apache y no sale nada del alert por que >- Siguiendo el tutorial al pie de la letra no me sale XSS, ya desactive y reinicio mi apache y no sale nada del alert por que >-

]]> By: Tu Jai http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-4526 Tu Jai Tue, 07 Jul 2009 23:33:18 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-4526 Saludos desde Montevideo... Quedé de bocabierta con tus artículos... Llegué a el por google buscando como usar la función PHP_SELF !.. jeje.. por lo que mis scripta necesitan unos cambios.. Felicitaciones por el artículo! Saludos desde Montevideo… Quedé de bocabierta con tus artículos…

Llegué a el por google buscando como usar la función PHP_SELF !.. jeje.. por lo que mis scripta necesitan unos cambios..

Felicitaciones por el artículo!

]]> By: mariocarrillo http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-4158 mariocarrillo Mon, 01 Jun 2009 14:53:24 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-4158 Hola Daniel me gusto mucho todo lo que mencionas sobre seguridad en nuestras paginas web, mas sin embargo me gustaria conocer algun ejemplo de como utilizar urlencode por ejemplo al utilizar el metodo POST en un formulario ya que por falta de conocimientos cuando envio variables de una pagina a otra el valor de las variables se ven en la barra de direcciones (www.pagina.php?valor=5&valor2=10) lo cual me ha preocupado mucho, por que como dices en cierta forma estoy dejando libre la manipulacion y el contenido de mis variables. Estoy empezando en estas cosas les pido su ayuda y comprension. Hola Daniel me gusto mucho todo lo que mencionas sobre seguridad en nuestras paginas web, mas sin embargo me gustaria conocer algun ejemplo de como utilizar urlencode por ejemplo al utilizar el metodo POST en un formulario ya que por falta de conocimientos cuando envio variables de una pagina a otra el valor de las variables se ven en la barra de direcciones (www.pagina.php?valor=5&valor2=10) lo cual me ha preocupado mucho, por que como dices en cierta forma estoy dejando libre la manipulacion y el contenido de mis variables.
Estoy empezando en estas cosas les pido su ayuda y comprension.

]]> By: Daniel http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-1944 Daniel Sun, 20 Jul 2008 00:36:23 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-1944 Hola Leniad, no descarto que en algún momento pueda existir algún problema de navegador en cuanto a la ejecución de estos ejemplos, pero me parece que no es el caso del Firefox 3 o IE 7. Por el momento, según las pruebas que acabo de realizar ninguno interpreta una doble etiqueta title de cierre como un error, y en ambos puedo seguir inyectando CSS en las condiciones mencionadas en el post. Si el ejemplo no funciona es muy probable que se tenga las comillas mágicas (magic quotes) activadas en el servidor de prueba, por lo que el alert saldría alert(\"Texto\") lo que evitaría la inyección. Pero puedo asegurar que con las magic quotes desactivadas todo sigue funcionando sin inconvenientes... y las magic quotes son una característica que PHP 6 no va a incluir. Un gusto intercambiar opiniones. Saludos. Hola Leniad, no descarto que en algún momento pueda existir algún problema de navegador en cuanto a la ejecución de estos ejemplos, pero me parece que no es el caso del Firefox 3 o IE 7. Por el momento, según las pruebas que acabo de realizar ninguno interpreta una doble etiqueta title de cierre como un error, y en ambos puedo seguir inyectando CSS en las condiciones mencionadas en el post. Si el ejemplo no funciona es muy probable que se tenga las comillas mágicas (magic quotes) activadas en el servidor de prueba, por lo que el alert saldría alert(\”Texto\”) lo que evitaría la inyección. Pero puedo asegurar que con las magic quotes desactivadas todo sigue funcionando sin inconvenientes… y las magic quotes son una característica que PHP 6 no va a incluir.

Un gusto intercambiar opiniones.
Saludos.

]]> By: Leniad http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-1943 Leniad Sat, 19 Jul 2008 21:44:37 +0000 http://www.formatoweb.com.ar/blog/2007/10/10/ataques-xss-el-peligro-de-hacer-echo-get-var/#comment-1943 Corrijo el enunciado, por las etiquetas quedo mal puesto <title="></title>[codigo del ataque]"></title> Corrijo el enunciado, por las etiquetas quedo mal puesto

<title="></title>[codigo del ataque]"></title>

]]>