(In)seguridad en los foros [SMF] página 2

Foro de elhacker.net

Seguridad Informática

Hacking

Bugs y Exploits

Nivel Web (Moderadores: sirdarckcat, WHK)

(In)seguridad en los foros [SMF]

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: 1 [2] 3

Autor

Tema: (In)seguridad en los foros [SMF] (Leído 15,862 veces)

jdc

Desconectado

Mensajes: 3.406

Re: (In)seguridad en los foros [SMF]

« Respuesta #10 en: 15 Julio 2010, 01:33 am »

Lipman bastante simpático, pero creo que sería mejor que no hicieras un tutorial xD por último omite el código para que sí algún pelotudo sigue tu idea por lo menos tenga que pensar algo.

Ahora, algún tiempo he administrado foros y creo firmemente que la confianza es lo principal y este tipo de cosas hace que se pierda. Mucha gente en sus sistemas guardan la contraseña sin cifrar y sí smf la cifra por defecto, no deberías enseñar como no hacerlo.

Ojo te lo digo con harto respeto.

Saludos


	En línea

~ Yoya ~

Wiki

Desconectado

Mensajes: 1.125

Re: (In)seguridad en los foros [SMF]

« Respuesta #11 en: 15 Julio 2010, 02:11 am »

Citar

Por ejemplo, si me registro, y pongo de usuario lipman y de contraseña password, en la base de datos se guarda la cifrado de lipmanpassword, de la siguiente simple manera:

Código

sha1($nombreUsuario . $password)

Por lo que, cuando un administrador acceda a la base de datos, le será imposible obtener la contraseña de ese usuario.

Y que pasa si otro usuario accede a la DB, quisieras que tenga todas las contraseñas, asi de facir?

Citar

Se podrían hacer cientos de métodos distintos e incluso combinarlos, para averiguar las contraseñas de los usuarios que se registren. El más sencillo que se me ocurre es: justo al registrarse un usuario, guardar en la base de datos su contraseña sin cifrar

No funcionara ya que lo que hace es comparar el dato con el que esta en la DB...
Osea, se ingresa el password a la DB sin cifrar y cuando el usuario digita su password se pasa a md5 y se verifica si los dos datos son iguales, si tienes tu password registrado en la DB sin cifrar, al comprobarlo no seran lo mismo, salvo que no use ningun tipo de encriptacion xD...
Ej:

Código

<?php
$valordelusuario = md5(123456);
$valor_sin_sifrar_de_la_db = 123456;
if($valordelusuario == $valor_sin_sifrar_de_la_db){
echo "Password Correcto";
exit;
}
echo "Password Incorrecto";
exit;
 
?>

Siempre los password serán incorrecto...


	En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

jdc

Desconectado

Mensajes: 3.406

Re: (In)seguridad en los foros [SMF]

« Respuesta #12 en: 15 Julio 2010, 06:40 am »

Claro, la idea sería agregar un nuevo campo a la db y guardar en ese la clave, asi se tendría en la db el usuario, el pass cifrado y el pass sin cifrar, pero como dijeron por ahí esto se puede hacer en cualquier cms abierto en el cual el usuario tenga acceso a la db y a los archivos fuente del sistema.

Insisto en que es mejor no facilitar el trabajo a gente sin ética, lo mejor es que sí quieren hacer pelotudeses que se quiebren el coco


	En línea

madpitbull_99

Colaborador

Desconectado

Mensajes: 1.911

Re: (In)seguridad en los foros [SMF]

« Respuesta #13 en: 15 Julio 2010, 10:32 am »

Cita de: ‭lipman en 14 Julio 2010, 11:37 am

Tal vez porque lo he escrito yo?

Da igual , no lo has entendido...


	En línea

«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red

‭lipman

Desconectado

Mensajes: 3.062

Re: (In)seguridad en los foros [SMF]

« Respuesta #14 en: 15 Julio 2010, 10:34 am »

@Yoya
El código funciona perfectamente, he hecho muchísimas pruebas y es indiscutible su funcionamiento xD

Fíjate, que hago 2 cosas:
-La primera, creo en la base de datos una fila nueva (para meter ahí la contraseña sin cifrar)
-La segunda, hago que se guarde (junto con la contraseña cifrada) la contraseña sin cifrar.

Si no hiciera esto, tendría que cambiar el método que usa SMF para loguearse también, y esto es más complicado (pero se podría hacer)

@Janito
Tienes toda la razón, me hiciste recapacitar un poco, y he decidido quitar los códigos el lunes que viene (para que así vean aunque sea el trabajo que hice durante unos dias) y lo mismo haré cuando postee los siguientes

Un saludo y gracias!

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

@madpitbull_99
Es fácil de entender, al ser el autor del post, lo pongo de primeras en mi página y luego aquí. Por otro lado, está el tema de la "responsabilidad" y prefiero que caiga la responsabilidad de este post en mi, que en este foro. No te lo digo con mala intención ^^

Saludos!


	En línea

Twitter: jmlipman

http://delanover.com

madpitbull_99

Colaborador

Desconectado

Mensajes: 1.911

Re: (In)seguridad en los foros [SMF]

« Respuesta #15 en: 15 Julio 2010, 13:02 pm »

La fuente se suele poner cuando un post no es tuyo y asi citar la fuente, pero ya que lo has publicado tu se da a entender que lo has escrito tu ...


	En línea

«Si quieres la paz prepárate para la guerra» Flavius Vegetius

[Taller]Instalación/Configuración y Teoría de Servicios en Red

~ Yoya ~

Wiki

Desconectado

Mensajes: 1.125

Re: (In)seguridad en los foros [SMF]

« Respuesta #16 en: 15 Julio 2010, 16:43 pm »

Código:

Fíjate, que hago 2 cosas:
-La primera, creo en la base de datos una fila nueva (para meter ahí la contraseña sin cifrar)
-La segunda, hago que se guarde (junto con la contraseña cifrada) la contraseña sin cifrar.

Si no hiciera esto, tendría que cambiar el método que usa SMF para loguearse también, y esto es más complicado (pero se podría hacer)

Si exacto, tendrias que cambiar el metodo que usa SMF para loguearse pero por algo las contraseñas se guardan cifradas en la DB, porque pueda ser que alguien copie la DB y luego la este vendiendo xD...

Eso es solo una medida de seguridad, no hay nada malo en eso....


	En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

kisk

Desconectado

Mensajes: 55

Re: (In)seguridad en los foros [SMF]

« Respuesta #17 en: 15 Julio 2010, 17:25 pm »

Citar

Código:

$contrasenha = $_POST['passwrd1'];
$miembrouser = $_POST['user'];

$consulta = "UPDATE smf_members SET pwdlol = '$contrasenha' WHERE memberName = '$miembrouser'";
$resultado = mysql_query($consulta) or die("Error realizando la consulta");

Eso se ve como una bonita inyeccion sql


	En línea

La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)

jdc

Desconectado

Mensajes: 3.406

Re: (In)seguridad en los foros [SMF]

« Respuesta #18 en: 15 Julio 2010, 17:41 pm »

Que se guardará en un campo y jamás se mostrará xD


	En línea

braulio--

Wiki

Desconectado

Mensajes: 896

Imagen recursiva

Re: (In)seguridad en los foros [SMF]

« Respuesta #19 en: 15 Julio 2010, 18:55 pm »

Cita de: jdc en 15 Julio 2010, 17:41 pm

Que se guardará en un campo y jamás se mostrará xD

Si con eso quieres decir que no es explotable estás equivocado.
Si $contrasenha contiene "blablabla' , password=md5('hola') WHERE memberName='admin' --" le puedes reventar.


	En línea

Crea tus propios códigos QR!

Páginas: 1 [2] 3

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Foros seguridad informática? Seguridad	gregory90	2	2,493	7 Junio 2011, 01:18 am por gregory90
	Seguridad en foros Seguridad	Arkanth	1	2,016	24 Diciembre 2013, 20:58 pm por r32
	Listado de foros/Telegram de developers/seguridad de habla inglesa?? Foro Libre	llword93ll	1	2,061	2 Septiembre 2017, 17:41 pm por ivancea96