Intento de inyección de código

Giezzy

Giezzy Seguir

Zeta
Verificación en dos pasos activada
Desde
30 Mar 2011
Mensajes
1.817
Alguien está intentando inyectar código a uno de mis sitios. Me ha aparecido esta línea como búsqueda ingresada 5 veces el día de hoy:
data:,<?php eval($_get[a]); ?>
Pregunta ¿Cómo puedo verificar que mi sitio esté "seguro" de este tipo de inyecciones?
Algún Gurú que me quiera ayudar?
 
Jorge Reyes

Jorge Reyes

1
Kappa
Social Media
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
Suscripción a IA
Desde
29 Mar 2012
Mensajes
2.647
Los "eval" son como una puerta a tu web, mira con ese código te pueden hackear de la siguiente forma

archivo.php?a= aquí el código por ejemplo si pones "phpinfo();" te tirara la info del server, lo mejor es que borres esos códigos así :)
 
Cicklow

Cicklow

Admin
Dseda
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Desde
30 May 2011
Mensajes
1.101
Giezzy dijo:
Alguien está intentando inyectar código a uno de mis sitios. Me ha aparecido esta línea como búsqueda ingresada 5 veces el día de hoy:
data:,<?php eval($_get[a]); ?>
Pregunta ¿Cómo puedo verificar que mi sitio esté "seguro" de este tipo de inyecciones?
Algún Gurú que me quiera ayudar?
Hacer clic para expandir...

estan testeando si tu sitio guarda el code como PHP o como texto. lo mejor es usar:
strip_tags(); o htmlentities(); para sacar todo code php, JS, html, etc...
 
Giezzy

Giezzy

Zeta
Verificación en dos pasos activada
Desde
30 Mar 2011
Mensajes
1.817
cicklow dijo:
estan testeando si tu sitio guarda el code como PHP o como texto. lo mejor es usar:
strip_tags(); o htmlentities(); para sacar todo code php, JS, html, etc...
Hacer clic para expandir...

Esto debería ser añadido en searchform.php? (Sé muy poco de estas cosas)
 
Cicklow

Cicklow

Admin
Dseda
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Desde
30 May 2011
Mensajes
1.101
Giezzy dijo:
Esto debería ser añadido en searchform.php? (Sé muy poco de estas cosas)
Hacer clic para expandir...

antes de guardarlo en la base de datos. usas WP o ke? si usas WP no te preocupes que no permite inyección por PHP (a menos que no tengas actualizado el plugin de cache, que estaba bugeado y permitia PHP en los comentarios).
 
Poka

Poka

VIP
Iota
Social Media
Verificación en dos pasos activada
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
24 Sep 2012
Mensajes
2.434
Si filtras las variables que tienen conexion con la base de datos con mysql_escape_string() creo que no tendrás problemas
 
Giezzy

Giezzy

Zeta
Verificación en dos pasos activada
Desde
30 Mar 2011
Mensajes
1.817
[MENTION=9679]cicklow[/MENTION] en efecto, uso Wordpress.
Gracias por la aclaración, siempre mantengo los plugins actualizados.
 
Hay que estar conectado o registrado para responder aquí.
Arriba