elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 [11] 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 ... 216
101  Programación / Ingeniería Inversa / Re: Ayuda!!!! en: 9 Enero 2020, 22:43
Colocar un titulo mas descriptivo del tema

Ayuda es muy generico.. te parece si cambias el titutlo a "Duda con archivos .dat y decompilar binario"

Ahora.

Archivos .dat son muy genéricos, puede tener desde una base de datos en texto plano o directamente datos cifrados en formato binario.

En mi caso es muy común que los utilice como llaves para cifrado de otras cosas mas importante: ejemplo

Linux comando dd
Código:
dd if=/dev/urandom of=test_1.dat bs=1M count=1

Genera un archivo test_1.dat con 1MB de datos random sacados de /dev/urandom

Posteriormente lo puedo utilizar como llave para cifrar cosas.

Sube tus archivos a algun hosting pasanos el link y los analizamos.

Saludos
102  Programación / Ingeniería Inversa / Re: Ayuda con las APIS de windows, soy principiante en: 9 Enero 2020, 19:17
¿Creen que aprendiendo C++ o ensamblador pueda entenderlas mejor?

Posiblemente si necesitas algo de C++, las apis de windows tienen algunos nombres un tanto rebuscados para los tipos de datos.

Utilizan por ejemplo Dword cuando realmente una variable entera sin signo de 32 bits

Código:
int dato;

Empieza con un poco de background de C++ versiones modernas ya que lo es C y el C++ clásico a cambiado mucho desde hace tiempo.

Saludos.
103  Programación / Desarrollo Web / Re: No guardar el email en texto plano en la base de datos y/o variables SESSION en: 9 Enero 2020, 16:48
Para cifrar programáticamente con simétrica, necesitas tener la clave simétrica almacenada para poder cifrar/descifrar.

Si pues, si ya te hackearon toda la base de datos y el sistema de archivos incluso el codigo fuente pues nada te va a salvar.

Por eso digo que no tendria que ser reversible.

En el código que puse hablo de una key en un archivo la cual si solo hackean la base de datos no van a obtener, en ese caso la key solo sirve como un padding/salt a la hora de hashear iterativamente.

Mi postura sigue siendo que no se guarde el email de forma reversible.

Saludos.
104  Programación / Desarrollo Web / Re: No guardar el email en texto plano en la base de datos y/o variables SESSION en: 9 Enero 2020, 16:27
Por eso agrege lo de modo paranoico. 😅

Siendo honestos la mayoria de los sitios no nesecitan el email si solo quieren para un login se puede utilizar los metodos AOuth con twitter github google facebook y demas.

Analizemos si es para un blog -> Caja de comentarios a no ser que el usuario marque una casilla de que quiere hacer publico su email pues lo publicas y ya.

Pero realmente queremos poner esa opcion con tanto SPAM que llega para que quieres mas?

El detalle es el siguiente, si todo el mundo "developers" cifraran o hashearan bien los passwords no hay problema  el email puede estar en texto plano. Sin embargo no todos los developers lo hacen y a cada rato sale que dumpearon tal o cual base de datos, pueden reversear el password y probar la combinación email/password en todos los servicios conocidos. Como todo el mundo utiliza un password diferente en cada servicio No hay riesgo... 🙄🙄🙄

Si es paranoico pero es seguro a no ser que necesites estar mandando email a esas direcciones cada día entonces minimo que se guarde con un cifrado simetrico.

Asi si te dumpean la DB minimo el email no aparece en las listas tipo have i been pwned.

Bueno, "no se necesita" puede depender de lo que este pensado en hacer el sistema... Por ejemplo, si estoy subscrito al NYT por correo me imagino que ellos si necesitan mi correo :P.

Exacto si es para una lista de distribucion  donde no se guarde relacion con tu password esta muy bien.
En ese caso i podrias tener una tabla en modo paranoico para el login y otra tabla no relacionada para la lista de correo y si el usuario quiere darse de baja, que NO dependa de su login, sino de un token hash.

105  Programación / Desarrollo Web / Re: No guardar el email en texto plano en la base de datos y/o variables SESSION en: 9 Enero 2020, 06:57
Algun desempleado en este momento.

Pero igual hay que analizar si el token estaba en el script, no creo que sea el único script que este de esa manera.

Y luego esta el hecho de que tienen que reimplementar todos las paginas que utilizen tokens.... 🤔🤔

Es tardado ademas, si ya estaban acostumbrados a trabajar de cierta forma, va a estar dificil que cambien de paradigma de un momento a otro.

Imaginate que mas guardan sin cifrar numeros de tarjetas, cuentas de banco..

Creo que voy a ir dando de baja mi cuenta de paypal.

Saludos
106  Foros Generales / Foro Libre / Re: soynovato en: 9 Enero 2020, 06:21
Si aprender tu quieres, preguntas puntuales hacer tu debes.

Lee los libros que te recomiendan y ahora si, si el libro en cuestion no te resuelve, pregunta algo puntual y especifico.

Casi todos los foros tienen temas pegados que los moderadores consideran interesantes, importantes y/o repetitivos.

Saludos
107  Programación / Desarrollo Web / No guardar el email en texto plano en la base de datos y/o variables SESSION en: 9 Enero 2020, 06:04
Modo Paranoico ON

Post Original: https://albertobsd.dev/blog/es/2020/01/no-guardar-email-en-texto-plano/

Déjame repetirte el titulo

No guardar el email en texto plano en la base de datos, No se necesita, no se requiere, es mas seguro.

Según esta publicación (Lectura recomendada)

https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9

Bug bounty de 15mil $ USD

Si nos ponemos paranoicos, no deberías de conocer el email del usuario, No se necesita, no se requiere.

¿Que dato valido entonces? Un hash del mismo email protegido con alguna key, Importante: Que no sea reversible es decir que teniendo el hash no exista forma de volver al email y/o password originales.

Los siguientes códigos requieren de un archivo key_db.dat el cual se puede generar con dd leyendo de /dev/random o con el método que mas les guste.

Código
  1. /*
  2. metodo con hash_pbkdf2
  3. */
  4. $halgo = "sha256";
  5. $iterations = 2000000;
  6. $email = "user@example.com";
  7. $password = "P4ssw0rd";
  8. $salt = hash_file($halgo,"key_db.dat",true);
  9. $salida_email = hash_pbkdf2($halgo,$email,$salt,$iterations,0);
  10. $salida_password = hash_pbkdf2($halgo,$password,$salt,$iterations,0);
  11. echo "hash email: $salida_email\n";
  12. echo "hash password: $salida_password\n";
  13.  
  14.  
  15. /*
  16. metodo Iterativo con hash_hmac ()
  17. */
  18. $i = 0;
  19. $data_email = substr($email,0);
  20. $data_password = substr($password,0);
  21. do {
  22. $data_email = hash_hmac($halgo,$data_email,$salt,true);
  23. $data_password = hash_hmac($halgo,$data_password,$salt,true);
  24. }while($i++ < ($iterations - 1));
  25. $data_email = hash_hmac($halgo,$data_email,$salt,false);
  26. $data_password = hash_hmac($halgo,$data_password,$salt,false);
  27. echo "hash email: $data_email\n";
  28. echo "hash password: $data_password\n";
  29.  
  30. /*
  31. metodo Iterativo solo con hash  (data y key concatenadas)
  32. */
  33. $i = 0;
  34. $data_email = substr($email,0);
  35. $data_password = substr($password,0);
  36. do {
  37. $data_email = hash($halgo,$data_email.$salt,true);
  38. $data_password = hash($halgo,$data_password.$salt,true);
  39. }while($i++ < ($iterations - 1));
  40. $data_email = hash($halgo,$data_email.$salt,false);
  41. $data_password = hash($halgo,$data_password.$salt,false);
  42. echo "hash email: $data_email\n";
  43. echo "hash password: $data_password\n";
  44.  
  45.  

Nota que coloque Iteraciones igual a 2 Millones ya que no sabemos en un futuro que tan feasible sea realizar algun forcebrute a los hashes.

NO SE NECESITA GUARDAR EL EMAIL EN PLANO
- El usuario no se acuerda de su clave? Pides el email y aplicas el mismo algoritmo, se busca en la base de datos y si coincide con alguno de los hash envias el email, basándose en el email que te enviaron obviamente validando que sea email valido filter_var($email, FILTER_VALIDATE_EMAIL)

NO SE NECESITA, ok quieres enviarles noticias o mensajes cada X tiempo
- Se puede utilizar criptografía simétrica para guardar el email pero si te hackean la base de datos y el código fuente, lo van a poder obtener ellos mismos

déjame Repetírtelo una vez mas NO SE NECESITA GUARDAR EL EMAIL EN TEXTO PLANO

Incluso solo se necesita recibir el email en texto plano en 2 ocasiones, solo cuando se registra (Para validar que sea valido) y cuando quiere recuperar su password.

Para el login diario podrías recibir  solo un hash del mismo

var email = CryptoJS.SHA512($("#email").val()).toString().substring(1, 127);

Se le quitan 2 nibbles de los extremos al hash antes de ser enviado, por si se llega a interceptar en transito por algun exploit, no se pueda determinar al 100% cual es el email inicial

Se podría aplicar lo mismo al password (Muy recomendable asi tu nunca vez el password original del usuario)

Saludos!




108  Foros Generales / Dudas Generales / Re: duda sobre token en: 8 Enero 2020, 23:53
Te voy a poner un link que lei hace unos 8 años, la información debe de estar mas actualizada hoy en dia.

https://bitcoin.org/en/blockchain-guide#introduction

Si realmente quieres aprender empezaras por ahi, y si de plano no te interesa el background del block chain mejor ni le muevas mas.

Saludos!
109  Seguridad Informática / Hacking Ético / Es posible detectar que un usuario entra y/o se conecta mediante Proxy Sock 5? en: 8 Enero 2020, 23:51
Tengo configurado un proxy Socks5 implementado mediante ssh tunneling a un servidor dedicado, estoy 100 % seguro que soy el único que lo utiliza como proxy por que yo administro el servidor mencionado.

El punto aquí, es como puede detectar una pagina que visito si estoy usando un proxy Socks5?

He hecho pruebas y el navegador con y sin proxy manda exactamente mismas headers ademas también se que los scripts no puede acceder a la IP Publica Real si estoy con el proxy habilitado.

Pregunto estoy por que servicios como Netflix y otras paginas me detectan que estoy utilizando este tipo de técnicas.

Saludos!
110  Foros Generales / Dudas Generales / Re: duda sobre token en: 8 Enero 2020, 23:15
No funciona de esa manera, no tendría valor alguno, de hecho no estoy seguro si sea correcto decir "crear un token" mas bien lo que se crea es una Wallet, por lo menos asi funciona con bitcoin.

Realmente necesitas leer mas de Blockchain, para entender mas o menos como esta el tema.

Saludos!
Páginas: 1 2 3 4 5 6 7 8 9 10 [11] 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 ... 216
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines