elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  (In)seguridad en los foros [SMF]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: (In)seguridad en los foros [SMF]  (Leído 16,659 veces)
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #10 en: 15 Julio 2010, 01:33 am »

Lipman bastante simpático, pero creo que sería mejor que no hicieras un tutorial xD por último omite el código para que sí algún pelotudo sigue tu idea por lo menos tenga que pensar algo.
 
Ahora, algún tiempo he administrado foros y creo firmemente que la confianza es lo principal y este tipo de cosas hace que se pierda. Mucha gente en sus sistemas guardan la contraseña sin cifrar y sí smf la cifra por defecto, no deberías enseñar como no hacerlo.
 
Ojo te lo digo con harto respeto.
 
Saludos
En línea

~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: (In)seguridad en los foros [SMF]
« Respuesta #11 en: 15 Julio 2010, 02:11 am »


Citar
Por ejemplo, si me registro, y pongo de usuario lipman y de contraseña password, en la base de datos se guarda la cifrado de lipmanpassword, de la siguiente simple manera:


Código
  1. sha1($nombreUsuario . $password)

Por lo que, cuando un administrador acceda a la base de datos, le será imposible obtener la contraseña de ese usuario.

Y que pasa si otro usuario accede a la DB, quisieras que tenga todas las contraseñas, asi de facir?


Citar
Se podrían hacer cientos de métodos distintos e incluso combinarlos, para averiguar las contraseñas de los usuarios que se registren. El más sencillo que se me ocurre es: justo al registrarse un usuario, guardar en la base de datos su contraseña sin cifrar
No funcionara ya que lo que hace es comparar el dato con el que esta en la DB...
Osea, se ingresa el password a la DB sin cifrar y cuando el usuario digita su password se pasa a md5 y se verifica si los dos datos son iguales, si tienes tu password registrado en la DB sin cifrar, al comprobarlo no seran lo mismo, salvo que no use ningun tipo de encriptacion xD...
Ej:
Código
  1. <?php
  2. $valordelusuario = md5(123456);
  3. $valor_sin_sifrar_de_la_db = 123456;
  4. if($valordelusuario == $valor_sin_sifrar_de_la_db){
  5. echo "Password Correcto";
  6. }
  7. echo "Password Incorrecto";
  8.  
  9. ?>

Siempre los password serán incorrecto...
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #12 en: 15 Julio 2010, 06:40 am »

Claro, la idea sería agregar un nuevo campo a la db y guardar en ese la clave, asi se tendría en la db el usuario, el pass cifrado y el pass sin cifrar, pero como dijeron por ahí esto se puede hacer en cualquier cms abierto en el cual el usuario tenga acceso a la db y a los archivos fuente del sistema.
 
Insisto en que es mejor no facilitar el trabajo a gente sin ética, lo mejor es que sí quieren hacer pelotudeses que se quiebren el coco
En línea

madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #13 en: 15 Julio 2010, 10:32 am »

Tal vez porque lo he escrito yo?

Da igual , no lo has entendido...
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
‭lipman


Desconectado Desconectado

Mensajes: 3.062



Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #14 en: 15 Julio 2010, 10:34 am »

@Yoya
El código funciona perfectamente, he hecho muchísimas pruebas y es indiscutible su funcionamiento xD

Fíjate, que hago 2 cosas:
-La primera, creo en la base de datos una fila nueva (para meter ahí la contraseña sin cifrar)
-La segunda, hago que se guarde (junto con la contraseña cifrada) la contraseña sin cifrar.

Si no hiciera esto, tendría que cambiar el método que usa SMF para loguearse también, y esto es más complicado (pero se podría hacer)

@Janito
Tienes toda la razón, me hiciste recapacitar un poco, y he decidido quitar los códigos el lunes que viene (para que así vean aunque sea el trabajo que hice durante unos dias) y lo mismo haré cuando postee los siguientes  :D

Un saludo y gracias!

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

@madpitbull_99
Es fácil de entender, al ser el autor del post, lo pongo de primeras en mi página y luego aquí. Por otro lado, está el tema de la "responsabilidad" y prefiero que caiga la responsabilidad de este post en mi, que en este foro. No te lo digo con mala intención ^^

Saludos!
En línea

madpitbull_99
Colaborador
***
Desconectado Desconectado

Mensajes: 1.911



Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #15 en: 15 Julio 2010, 13:02 pm »

La fuente se suele poner cuando un post no es tuyo y asi citar la fuente, pero ya que lo has publicado tu se da a entender que lo has escrito tu ...
En línea



«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: (In)seguridad en los foros [SMF]
« Respuesta #16 en: 15 Julio 2010, 16:43 pm »

Código:
Fíjate, que hago 2 cosas:
-La primera, creo en la base de datos una fila nueva (para meter ahí la contraseña sin cifrar)
-La segunda, hago que se guarde (junto con la contraseña cifrada) la contraseña sin cifrar.

Si no hiciera esto, tendría que cambiar el método que usa SMF para loguearse también, y esto es más complicado (pero se podría hacer)
Si exacto, tendrias que cambiar el metodo que usa SMF para loguearse pero por algo las contraseñas se guardan cifradas en la DB, porque pueda ser que alguien copie la DB y luego la este vendiendo xD...

Eso es solo una medida de seguridad, no hay nada malo en eso....
En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
kisk

Desconectado Desconectado

Mensajes: 55



Ver Perfil
Re: (In)seguridad en los foros [SMF]
« Respuesta #17 en: 15 Julio 2010, 17:25 pm »

Citar
Código:
$contrasenha = $_POST['passwrd1'];
$miembrouser = $_POST['user'];
 
$consulta = "UPDATE smf_members SET pwdlol = '$contrasenha' WHERE memberName = '$miembrouser'";
$resultado = mysql_query($consulta) or die("Error realizando la consulta");


Eso se ve como una bonita inyeccion sql :D xD
En línea

La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #18 en: 15 Julio 2010, 17:41 pm »

Que se guardará en un campo y jamás se mostrará xD
En línea

braulio--
Wiki

Desconectado Desconectado

Mensajes: 896


Imagen recursiva


Ver Perfil WWW
Re: (In)seguridad en los foros [SMF]
« Respuesta #19 en: 15 Julio 2010, 18:55 pm »

Que se guardará en un campo y jamás se mostrará xD
Si con eso quieres decir que no es explotable estás equivocado.
Si $contrasenha contiene "blablabla' , password=md5('hola') WHERE memberName='admin' --" le puedes reventar.
En línea

Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Foros seguridad informática?
Seguridad
gregory90 2 3,046 Último mensaje 7 Junio 2011, 01:18 am
por gregory90
Seguridad en foros
Seguridad
Arkanth 1 2,217 Último mensaje 24 Diciembre 2013, 20:58 pm
por r32
Listado de foros/Telegram de developers/seguridad de habla inglesa??
Foro Libre
llword93ll 1 2,308 Último mensaje 2 Septiembre 2017, 17:41 pm
por ivancea96
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines