Inyeccion HTML
1 ¿Que es el html inyection?bueno no es nada raro..es una tecnica ke lo ke hace es inyectar un codigo dentro de una web en html
Al meter este codigo podemos hacer varias cosas...
2 Y esto ¿por que sucede?
bueno esto pasa porque los autores de la web no filtraron adecuadamente las etiketas HTML permitiendo este tipo de atakes. Vamos a encontrar ke esta tecnica se utiliza mucho en en libros de visitas o tagboards echos por aficionados a la programacion.
3 Practica
Para saber si un foro..tagborad o libro de visitas es vulnerable tenemos ke colocar en el campo en donde iria el mensaje el siguiente texto:
Citar:
<h1>Prueba
te vas a dar cuenta si es vulnerable si aparece en negritas y mas grande de lo normal la letra... si pasa esto podes probar colocar :
Citar:
<script>alert('Es vulnerable')</script>
ya si al poner este texto te sale una ventanita con el texto "es vulnerable" empieza el desmadre
Podes colocar un frame con alguna imagen asi:
Citar:
<iframe
src=http://www.webdetudeface.net></iframe>
O bien
Citar:
<META HTTP-EQUIV="refresh" CONTENT="1; url=http://www.webdetudeface.net">
Esto ultimo lo ke hace es actualizar la web y redireccionarl a a la tuya...
4 ¿Y como se solucionan?
Jajaj no todo es desmadre aca...tambien voy a explica como hacer para protejerce en estos casos
Es muy sencillo, en el archivo php tienes que filtrar lo que te entra con htmlspecialvar s, así el ataque no se lleva a cabo.