elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


  Mostrar Mensajes
Páginas: 1 ... 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 [35] 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 ... 235
341  Foros Generales / Noticias / Re: Crean el primer chip de cifrado imposible de hackear en: 23 Diciembre 2019, 15:14 pm
El link es incorrecto.

Saludos!

Arreglado, gracias

wolfbcn
342  Comunicaciones / Redes / Re: Permitir acceso a red local desde el exterior. en: 23 Diciembre 2019, 14:18 pm
Necesitas que el router de la red te redireccione los puertos a tu host interno, esto es  NAT (Network Address Translation) o PAT (Port Address Translation).

Otra opcion es que te montes una VPN para poder conectarte desde una red externa a tu red local. Existen programas quente pueden ayudar a realizar esto pero el mitaria el uso de tu api solo a ti.

Saludos
343  Programación / Desarrollo Web / Re: Recomendaciones para baneos_bloqueos automaticos. en: 23 Diciembre 2019, 07:58 am
Si  obvio se que quien conozca del tema se salta el baneo, y lo de bloquear a otros usuarios, es poco probable, tenia configurado el bloqueo por un dia, pero lo he cambiado a Una hora.

Más que para usuarios, el baneo va para bots que buscan directorios que no existen, acabo de revisar y tenia baneados 78 direcciones IP y todas con ese motivo que busca scripts "default" instaladores y demas cosas donde no son. Y también lo del user agent muchos bots/scripts tienen User Agents asi muy obvios:

Código:
python-requests/2.22.0
Ruby
etc..

Y como se hace de forma automática ni me entero, tengo que agregar eso al dashboard que estoy haciendo.


Saludos!
344  Programación / Desarrollo Web / Re: Recomendaciones para baneos_bloqueos automaticos. en: 23 Diciembre 2019, 06:52 am
Voy a implementar el Código 403 que es el que mejor aplica.

Sobre el tipo de bloqueo, creo que a nivel IPTABLES no creo poder implementarlo ahorita, el servidor es un hosting compartido y se podria afectar el tráfico de otro sitio (Poco probable pero puede darse el caso)

Algunos de los bloqueos de URL o de User Agent veo que si se pueden implementar en la configuración de apache pero veo que también hay que estar aplicando un restart al apache y es el mismo caso. Ademas no se tendría un correcto bloqueo por sesiones. Así como un desbloqueo pasado cierto tiempo.

Creo que lo seguiré aplicando a nivel del script de PHP, se tiene un control sin necesidad de reiniciar el apache, se puede banear y desbanear via base de datos. Además el numero event-workers del apache y de hilos para el PHP-FPM esta bastante tuneado y aguanta mucha carga de trabajo.
345  Programación / Desarrollo Web / Recomendaciones para baneos_bloqueos automaticos. en: 23 Diciembre 2019, 05:04 am
Tengo implementado un sistema de bloqueos por URL (ya saben tipo /wp/login.php etc...), Usert Agent (Claramente modificados), Session (Previamente detectadas).

Si alguno de la lista se encuentra en el blacklist la IP se bloquea por algunas horas y ando un codigo de error 500.

La pregunta por recomendación aquí: ¿Es el mejor camino a seguir?, es decir ¿Bloquear el acceso y mandar error 500 o 404 es la mejor forma de proceder?

Saludos
346  Programación / Desarrollo Web / Re: [Pregunta]: Google recaptcha ¿V2 o V3? en: 23 Diciembre 2019, 04:53 am
Esa prueba ya la habia echo y no me habia dado problemas, el servidor Proxy era el mismo y no tengo problemas, la única diferencia de esa ocacion a las otras que no fallaron fue que en esta ocasión estaba utilizando una de mis viejas portátiles con sistema Operativo FreeBSD y con navegador limpio. Hasta le tome foto por que quería publicar lo eficiente que es el Recaptcha. Ahi se ve el mensaje de error de "Google recaptcha score too low"



347  Programación / Desarrollo Web / Re: [Aporte]: Sistema Anti ataques CSRF (Espero sugerencias) en: 23 Diciembre 2019, 03:26 am
Por ahí la función que me mandaste que dijiste que es más sencilla capaz hace lo mismo la verdad nose no estoy muy familiarizado con eso xD

Creo que la función que te recomende es mejor incluso se podría utilizar la función random_bytes en lugar de la función openssl_random_pseudo_bytes.

La principal idea de genera un código de "seguridad" es que no pueda ser adivinable.

En función los valores que son tomados de la fecha son calculables año, mes dia, hora minuto y segundo son calculables, posteriormente los únicos valores random que tienes es el numero de de 6 dígitos que va del 100 mil al 999,999 adicional  eso los otros 2 valores que van de la A a Z.

Si es difícil adivinarlo, pero puede se puede mas o menos predecir su valor original. En cambio si obtienes X cantidad de bytes al azar, digamos 16 bytes al azar.
El numero de posibilidades es

Código:
255 *255*255 *255*255 *255*255 *255*255 *255*255 *255*255 *255*255 *255

Ahora en el ejemplo que te puse, indique que se podrían tomar 1024  bytes, sin embargo si viste el post que publique, el debate fue solo utilizar 16 o 32 bytes en la función.

Totalmente impredecible.

Código
  1. <?php
  2. function Create_Code()
  3. {
  4. return hash("sha256",random_bytes(32));
  5. }
  6. ?>
  7.  

Aplicamos la función hash sha256 a eso datos binarios y listo ya tenemos nuestro string.

Saludos
348  Programación / Desarrollo Web / Re: [Pregunta]: Google recaptcha ¿V2 o V3? en: 23 Diciembre 2019, 02:44 am
Reamente no lo he intentado, seria cosa de validar si puedes dar de alta el mismo sitio para las 2 versiones de recaptcha

La version 2 utiliza el mismo script de la version 3 pero sin el KEY de tu size
Código:
<script src="https://www.google.com/recaptcha/api.js" async defer></script>

La version 3
Código:
<script src="https://www.google.com/recaptcha/api.js?render=_reCAPTCHA_site_key"></script>

Si lo intentas con las 2 versiones y funciona no dudes en comentarlo.

Saludos
349  Programación / Desarrollo Web / Re: [Pregunta]: Google recaptcha ¿V2 o V3? en: 23 Diciembre 2019, 01:59 am
V3 sin duda, aunque por ejemplo me a pasado que estoy experimentando  Navegador limpio y proxy de otro pais y me da score bajo, en esa ocasión basto que me logueara en google y ya me subió el puntaje.

Lo ideal solo seria utilizarlo para funciones que si necesites proteger, con los usuarios comunes no van a tener problema a no ser que sea la primera vez que utilizan ese navegador (Ejemplo movil nuevo o computadora recién formateada).

Saludos!
350  Programación / PHP / Re: Performance de un dirbuster en PHP? en: 23 Diciembre 2019, 01:31 am
Pues lo ideal seria descargar el archivo al servidor local wget o algún otro método, para posteriormente de ahí ir leyendo línea a línea del mismo. Dependiendo del tamaño del archivo y de los límites de memoria del servidor lo ideal seria leer solo linea por linea he ir guardadlo los offset de cada linea o en su defecto irlos guardando en una base de datos.

Todo depende de lo que necesites si necesitas mas performance, sacrificas memoria y si quieres ahorrar memoria sacrificas performance.

Eso si, el archivo tiene que estar localmente, si no ni perfermance ni memoria.

Saludos!
Páginas: 1 ... 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 [35] 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 ... 235
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines