[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Max Valdez wrote:
Hola a todos Sandrino,
Sandino
Me comento Gunnar (en cofradia) que eres la persona indicada para preguntarle esto:La mejor manera: ofrece una jugosa recompensa a quien te demuestre un método para ejecutar comandos conectándose a tu aplicación desde web.He estado experimentando con PHP-MYSQL para ver si puedo mandar comandos a traves de una interfase web. En pocas palabras, quiero saber que tan vulnerable es un sitio que estoy armando, y me di cuenta que esencialmente no puedo meter ningun comando a mysql, y las unicas "vulnerabilidades" que tenia eran de Cross-Site-Scripting, y esas ya las sanitize.El caso es que no pude hacer que mandara comandos escondidos en el input de web hacia mysql. ni con HEX, ni con caracteres normales.Sabes tu de alguna manera de auditar codigo PHP ???
o sea, algo mas o menos profesional, tal vez automatico, y que cheque lo mas que sea posible ??
Tal vez ésto te sirva: http://www.immunitysec.com/spike.html
Agradeceria que me ilumines en este asunto Saludos Max
-- Sandino Araico Sánchez -- Melón se comió las plumas....