Scribd Logo
Unggah

Selamat datang di Scribd!

  • HTML Injection

    Diunggah oleh

    Jes Gonzalez
    35 tayangan3 halaman
    Este documento describe los ataques de inyección HTML y cómo protegerse de ellos. Explica cómo crear una página vulnerable mediante un formulario PHP simple y cómo realizar ataques inyectando código HTML, como redireccionar a otra página. Finalmente, recomienda usar la función htmlentities() para codificar el contenido HTML y prevenir estos ataques.

    Deskripsi Asli:

    Informática

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Este documento describe los ataques de inyección HTML y cómo protegerse de ellos. Explica cómo crear una página vulnerable mediante un formulario PHP simple y cómo realizar ataques inyectando código HTML, como redireccionar a otra página. Finalmente, recomienda usar la función htmlentities() para codificar el contenido HTML y prevenir estos ataques.

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    35 tayangan3 halaman

    HTML Injection

    Diunggah oleh

    Jes Gonzalez
    Este documento describe los ataques de inyección HTML y cómo protegerse de ellos. Explica cómo crear una página vulnerable mediante un formulario PHP simple y cómo realizar ataques inyectando código HTML, como redireccionar a otra página. Finalmente, recomienda usar la función htmlentities() para codificar el contenido HTML y prevenir estos ataques.

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 3

    HTML InJECTion

    Publicado el 2011-02-19

    HTML InJECTion

    Autor : Doddy Hackman

    Indice:

    0x01:Introducción
    0x02:Haciendo una pagina vulnerable
    0x03:Como realizar ataques
    0x04:Protegiendonos de estos ataques

    0x01:Introduccion

    Hoy en dia las HTML Injection son conocidas por su facilidad de uso , ya que es
    muy facil realizar estos ataques.Sobre todo se atacan paginas que contengan formularios para que una
    vez atacados se redireccionen a otra pagina.
    Pues eso es lo que veremos hoy.

    0x02:Haciendo una pagina vulnerable

    A continuacion veremos el tipico formulario vulnerable a estos ataques , el cual lo hice en php por
    comodidad.

    Codigo

    <title>Pagina vulnerable a HTML Injection</title>


    <h1>Pagina vulnerable a HTML Injection</h1>
    <br><br>
    <h3>Deci algo......</h3>
    <form action="" method=GET>
    <input type=text name=txt>
    <br>
    <input type=submit value=Mandar name=enviar>
    </form>
    <?php
    if (isset($_GET['txt'])) {
    $texto = $_GET['txt'];
    $gor=fopen("html.php", "a");
    fwrite ($gor, $texto);
    fclose($gor);
    }
    ?>

    0x03:Como realizar ataques

    Como dije estos ataques son faciles de hacer , por eso no que creerse nada despues de hacer esto ,
    porque esto es algo mecanico que cualquiera hace.
    Para verificar que es vulnerable seria poniendo este codigo en la caja de texto:

    <h1>YEAH</h1>

    Si al responder el formulario se muestra "YEAH" con letras enormes es que la pagina es vulnerable a
    HTML Injection.

    Entonces si ya sabemos que la pagina es vulnerable podemos atacar de la siguiente manera con el
    siguiente codigo

    <meta http-equiv="refresh" content="0;URL=TUHACKED">

    Donde dice "TUHACKED" ponen la web que ustedes usaran como nuevo index se podria decir.

    En mi caso yo voy a poner http://127.0.0.1/owned.html.

    <meta http-equiv="refresh" content="0;URL=http://127.0.0.1/owned.html">

    Con eso , cada vez que se cargue el archivo o pagina vulnerable a HTML Injection se redireccionaria a
    esa pagina.

    0x04:Protegiendonos de estos ataques


    Para los que no se interesan solo en destruir aca les dejo la mejor forma de protegerse de estos ataques.
    Con la funcion htmlentities() pueden desactivar o protegerse del codigo html en los comentarios que
    vaya a poner la web.

    El formulario arreglado terminaria asi.

    <title>Pagina vulnerable a HTML Injection</title>


    <h1>Pagina vulnerable a HTML Injection</h1>
    <br><br>
    <h3>Deci algo......</h3>
    <form action="" method=GET>
    <input type=text name=txt>
    <br>
    <input type=submit value=Mandar name=enviar>
    </form>
    <?php
    if (isset($_GET['txt'])) {
    $texto = $_GET['txt'];
    $gor=fopen("html.php", "a");
    $arreglado = htmlentities($texto);
    fwrite ($gor,$arreglado);
    fclose($gor);
    }
    ?>

    Como ven con eso estaria la pagina protegida de HTML Injection y XSS.

    Con eso estaria todo.

    By Doddy Hackman

    Anda mungkin juga menyukai