Programadores [HACKERS] Le doy 30 euros a quien me meta mi sitio en un iframe

rduque · 17 May 2016

hola!

estoy testeando la seguridad de un proyecto que estamos a punto de lanzar. El caso es que no debemos permitir que el sitio sea visto desde iframes.

el sitio de prueba es el siguiente: recomendadopormi.net/iframe/

Basicamente es una pagina básica html con una cabecera http X-Frame-Options DENY y con un codigo javascript que comprueba que "self === top" para detectar iframes.

NO SE ACEPTA EL USO DE PROXIES intermediarios entre el usuario y el servidor

La recompensa puede ser aumentada hasta 100€

Interesados mandad MP

Zeokat · 17 May 2016

rduque dijo:
NO SE ACEPTA EL USO DE PROXIES intermediarios entre el usuario y el servidor

Explicame esa parte, porque yo puedo hacer una peticion con cURL a esa página, extraer el codigo HTML y meterlo en un iframe y no uso ningun proxy. Te sirve ese metodo?

tatusea · 17 May 2016

@ruque http://tatusea.com/iframe/ ahi está

rohangz · 17 May 2016

tatusea dijo:
@ruque http://tatusea.com/iframe/ ahi está

eso no es un iframe.

rduque · 17 May 2016

@tatusea :qmeparto: si puede ser que tambien salga el contenido ya seria la leche :qmeparto:

tatusea · 17 May 2016

rduque dijo:
@tatusea :qmeparto: si puede ser que tambien salga el contenido ya seria la leche :qmeparto:

si, había sacado el contenido pero no era en un iframe. Sigo investigando.

Saludos!

JhonnyAlvarez · 17 May 2016

rduque dijo:
hola!

estoy testeando la seguridad de un proyecto que estamos a punto de lanzar. El caso es que no debemos permitir que el sitio sea visto desde iframes.

el sitio de prueba es el siguiente: recomendadopormi.net/iframe/

Basicamente es una pagina básica html con una cabecera http X-Frame-Options DENY y con un codigo javascript que comprueba que "self === top" para detectar iframes.

NO SE ACEPTA EL USO DE PROXIES intermediarios entre el usuario y el servidor

La recompensa puede ser aumentada hasta 100€

Interesados mandad MP

probaste con un iflocation?

if(top.location!=this.location) top.location=this.location;

podes inclusive utilizar un alert() para que muestre también un mensaje de advertencia.

Avisame, saludos

Danny Shop · 17 May 2016

Probando... esos 30 euros son míos :number1:

Zeokat · 17 May 2016

Con el siguiente código PHP puedes meter tu sitio en un iframe :number1:

Código:

<?php

function get_data($url) {
	$ch = curl_init();
	$timeout = 5;
	curl_setopt($ch, CURLOPT_URL, $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
	$data = curl_exec($ch);
	curl_close($ch);
	return $data;
}

$returned_content = get_data('http://recomendadopormi.net/iframe/');

$returned_content = preg_replace('/<style id="antiClickjack">.*<\/style>/i', '', $returned_content);
$returned_content = preg_replace('/<script type="text\/javascript">.*<\/script>/is', '', $returned_content);

echo '<iframe srcdoc="'.$returned_content.'"></iframe>';

?>

rduque · 17 May 2016

@tatusea @Zeokat @Danny Shop el método de zeokat es casi lo que estoy buscando, solo que tal como le comenté a zeokat por privado, cuando dije que no debe de haber proxies de por medio, me refería a que no debe de haber un servidor que haga la petición y luego envie la página, sino que todo tiene que ejecutarse en el navegador y debe de ser el navegador quien haga la peticion.

De momento zeokat es el que parece que lo va a conseguir

pegui · 18 May 2016

Nadie pudo ?

Daniel Muñoz · 18 May 2016

rduque dijo:
@tatusea @Zeokat @Danny Shop el método de zeokat es casi lo que estoy buscando, solo que tal como le comenté a zeokat por privado, cuando dije que no debe de haber proxies de por medio, me refería a que no debe de haber un servidor que haga la petición y luego envie la página, sino que todo tiene que ejecutarse en el navegador y debe de ser el navegador quien haga la peticion.

De momento zeokat es el que parece que lo va a conseguir

Eso no es un proxy, es simple cURL. Yo creo que el compañero se gano su dinero. Ya que todo se ejecuta desde navegador

Danny Shop · 18 May 2016

rduque dijo:
@tatusea @Zeokat @Danny Shop el método de zeokat es casi lo que estoy buscando, solo que tal como le comenté a zeokat por privado, cuando dije que no debe de haber proxies de por medio, me refería a que no debe de haber un servidor que haga la petición y luego envie la página, sino que todo tiene que ejecutarse en el navegador y debe de ser el navegador quien haga la peticion.

De momento zeokat es el que parece que lo va a conseguir

Asegurame 100 euros y te lo hago. Ya encontre como. Saludines!

rduque · 18 May 2016

Daniel Muñoz dijo:
Eso no es un proxy, es simple cURL. Yo creo que el compañero se gano su dinero. Ya que todo se ejecuta desde navegador

Ya explique antes lo que quería decir con "no usar proxy". Quise decir que no puede haber un servidor de por medio (php se ejecuta en el servidor...)
Lo aclaré con zeokat antes de que él posteara el código.

Si el navegador llama a un servidor para que pida el html al otro servidor, no se está ejecutando todo desde el navegador.

Pero vaya, que si zeokat está disconforme siempre puede decirmelo y lo hablamos. Lo que digo lo cumplo, y si alguien me consigue lo que estoy buscando por supuesto que le voy a pagar.

Programadores [HACKERS] Le doy 30 euros a quien me meta mi sitio en un iframe

Comparte esta página