elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


  Mostrar Mensajes
Páginas: 1 ... 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 [39] 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 ... 235
381  Programación / Desarrollo Web / Re: Utilizar reCAPTCHA v3 para evitar intentos de fuerza bruta en: 15 Diciembre 2019, 03:26 am
La v3 es totalmente transparente, el usuario no tiene que darle click a nada.
382  Foros Generales / Foro Libre / Re: DNS AdGuard en Android para no mostrar publicidad - ¿Lo recomiendas? en: 15 Diciembre 2019, 03:17 am
Siempre queda la opción de montar tu propio server, la idea sería bloquear los sitios con un black list y para todo lo demas fordwardear la petion a opendns o google.
383  Foros Generales / Foro Libre / Re: DNS AdGuard en Android para no mostrar publicidad - ¿Lo recomiendas? en: 15 Diciembre 2019, 03:09 am
Viendo las opciones creo que mejor montare mi propio servidor DNS.... naaaa OpenDNS es buena opcion, pero si ofrecen bloquear publicidad? Nunca he visto esa opcion, generalmente y por facilidad uso el de google por ser facil de aprender :xD sin embargo y si encuentro uno que bloquee la publicidad lo usuaria y me lo aprendería...

En el router de la casa tengo el el archivo /etc/hosts con toda la publicidad bloqueada utilizando: https://someonewhocares.org/hosts/
384  Programación / Desarrollo Web / Re: Utilizar reCAPTCHA v3 para evitar intentos de fuerza bruta en: 15 Diciembre 2019, 02:47 am
Si, de hecho se puede validar muchas cosas de cada pagina, solo que si un mismo cliente hace mucha peticiones de recaptcha puede que le bajen el score, sin embargo tengo entendido que google "apreden" cual es el uso "normal" que se le da a cada pagina.

En el primer post aparece como usarlo en el back end

En el link que publique, viene los codigos para implementarlo de manera generica aqui ahora pego el script:

Código
  1.     grecaptcha.ready(function() {
  2.       grecaptcha.execute('SITE KEY HERE, THIS VALUE IS PUBLIC', {action: '/login'}).then(function(token) {
  3.         $.ajax({
  4.           type: "POST",
  5.           url: "/path/to/form/backend/",
  6.           data: {	
  7.             ...//mas datos
  8.             action: "/login",
  9.             reCAPTCHA_Token: token,
  10.           },
  11.           success: function( data, textStatus, jQxhr ){
  12.             ...
  13.           },
  14.           error: function( jqXhr, textStatus, errorThrown ){
  15.             ...
  16.           }
  17.         });	
  18.       });
  19.     });
  20.  

En teoria solo tendrias que modificar el action de cada llamada a grecaptcha.execute y el action que le mandas por ajax a tu sever, ya el servidor se tiene que validar que el action coincida tanto el que le mandas con ajax como el que responde google en el backend

podrias tener un action distinto para cada formulario distinto y validarlo del lado del server.

Saludos!
385  Programación / Desarrollo Web / Re: [Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF en: 14 Diciembre 2019, 03:05 am
Cita de: MinusFour en 14 Diciembre 2019, 02:24 am
No lo digo exactamente por eso, en un pasado ya ha tenido bugs esa función:

https://bugs.php.net/bug.php?id=70014

El segundo parámetro no es exactamente un parámetro para forzar el uso de una fuente criptográfica segura sino para revisar si el resultado fue así. No dudo que no sea una función valida hoy en día, después de que se parcho correctamente... pero si hay sistemas que pueden acabar usando la forma insegura preferiría que se usara la otra función.

Tienes toda la razon hace unas cuantas versiones del PHP tenia bugs la funcion de openssl... pero ahora ya en las mas recientes no tiene, y efectivamente random_bytes tiene mejor source de random segun disponga el sistema operativo.  ;-) ;-) ;-)

Voy a actualizar el codigo de ejemplo.

Saludos!
386  Programación / Desarrollo Web / Re: [Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF en: 14 Diciembre 2019, 01:06 am
Cita de: @?0!,5^34 en 14 Diciembre 2019, 00:26 am
Es mejor usar simétrica para este tipo de tareas no hay nada mejor. Y a parte es super ligera.

Si es mas rapida la simetrica y pues es la que ejemplifico en el codigo.

Cita de: MinusFour en 14 Diciembre 2019, 00:29 am
Asegurate que la función este usando un fuente cristalográfica fuerte. ... Así que no estoy completamente seguro como lo hace /dev/urandom (si es que acaso necesita esos bits exactamente para entropia o si genera en base a una entropia menor).

random_bytes es una mejor opción si se tiene acceso a la función, al menos te quitas la posibilidad de usar una fuente no suficientemente "fuerte".

Segun la documentacion de random_bytes

Código:
On Linux, the » getrandom(2) syscall will be used if available.
On other platforms, /dev/urandom will be used.

Si vemos en getrandom(2)
http://man7.org/linux/man-pages/man2/getrandom.2.html

Código:
 By default, getrandom() draws entropy from the urandom source (i.e., the same source as the /dev/urandom device).  This behavior can be changed via the flags argument.

El unico parametro de random_bytes  es la cantidad de bytes y segun su documentacion

Código:
Return Values:
Returns a string containing the requested number of cryptographically secure random bytes.

En cambio openssl_random_pseudo_bytes

Si se puede espeficiar el flag de crypto_strong

Código:
If passed into the function, this will hold a boolean value that determines if the algorithm used was "cryptographically strong", e.g., safe for usage with GPG, passwords, etc. TRUE if it did, otherwise FALSE

En general para el ejemplo que postee es igual si el source es random o urandom. Ya si nos ponemos paranoicos podrias leer bytes directamente de /dev/random

En sistemas como FreeBSD a partir de su version 11 /dev/random y /dev/urandom son exactamente el mismo device y nunca se queda sin entropia.

En sistemas como Linux no me he puesto a ver el codigo del kernel, solo me he fijado si openssl tiene forma de utilizar por defecto el RNG que tiene el hardware de intel lo cual si esta activado por defecto y si esta:

Código:
openssl engine

Salida:

Código:
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support

Y que tambien el Kernel lo tenga habilitado:

Código:
less /proc/cpuinfo

Citar
flags           : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx pdpe1gb rdtscp lm constant_tsc arch_perfmon pebs bts rep_good nopl xtopology nonstop_tsc cpuid aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 sdbg fma cx16 xtpr pdcm pcid sse4_1 sse4_2 x2apic movbe popcnt tsc_deadline_timer aes xsave avx f16c rdrand lahf_lm abm cpuid_fault epb invpcid_single pti ssbd ibrs ibpb stibp tpr_shadow vnmi flexpriority ept vpid ept_ad fsgsbase tsc_adjust bmi1 avx2 smep bmi2 erms invpcid xsaveopt dtherm ida arat pln pts md_clear flush_l1d

Para el ejemplo didactico cualquiera de las 2 funciones que se use esta bien, openssl_random_pseudo_bytes o random_bytes. Ya si nos ponemos paranoicos es otra cosa.

Saludos!
387  Programación / Desarrollo Web / Re: [Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF en: 13 Diciembre 2019, 23:51 pm
Cita de: @?0!,5^34 en 13 Diciembre 2019, 23:07 pm
Era muy largo y dije, paso de subir este tostón.

Por que no, siempre se puede aprender algo nuevo con los aportes de  las demas personas

Cita de: MinusFour en 13 Diciembre 2019, 23:19 pm
Una semilla de 8192 bits...



Si se que es mucho, voy a editar el post para no drenar la entropia de aquellos con servidores compartidos y demas, me hizo mucha graciosa la imagen  :laugh: :laugh: :laugh:

Si bastaria solo con unos 32 o 16 Bytes.

Sobre la cantidad disponible de entropia no tengo ningun problema, la maquina donde estoy haciendo las pruebas tiene hardware RNG y la cantidad de entropia disponible siempre retorna mas de 3000

Código:
cat /proc/sys/kernel/random/entropy_avail
388  Programación / Desarrollo Web / [Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF en: 13 Diciembre 2019, 19:32 pm
Entrada tambien en mi blog:
Validacion de token de forma Criptografica, evitar ataques CSRF

Bueno esto viene del tema que abrio el usuario MiguelCanellas    
[Aporte]: Sistema Anti ataques CSRF (Espero sugerencias).

La forma mas sencilla de genera un token sin incluir nada de criptografia  y que se envie al usuario para posteriormente ser validado es la siguiente:

Código
  1. $token = hash("sha256",random_bytes(32));

Esto nos produce una cadena hash sha256 apartir de 1Kilobyte de datos random.

La cosa seria sencilla guardarlo en la $_SESSION en el server y mandarlo al usuario, si lo devuelve comparamos que sean iguales y listo no hay mucho pierde.

Se necesita mas seguridad.... ?

El simple hecho que tengamos una cadena hash sha256 apartir de 1Kilobyte de datos random. hace casi imposible que alguien pueda generar el token por si solo y que coincida con el que generamos nosotros, podriamos incrementar la cantidad de bytes generados por la funcion openssl_random_pseudo_bytes simplemente incrementando su valor.

Ahora si realmente queremos proteger la informacion mediante criptografia tenemos que hacer las cosas bien.

Una implentacion rapida para ejemplificar este proceso es la siguiente:

Código
  1. <?php
  2. 	$cipher = 'AES-256-CBC';							//SUIT de cirado utilizada 
  3. 	$strkey = "s3cr3tk3yh4x0r";							//Clave en el servidor, secreta, cambiar esta clave de ejemplo POR FAVOR de preferencia utilizar una clave generada de forma segura con openssl_random_pseudo_bytes o /dev/random
  4. 	$realkey = hash("sha256",$strkey,true);						//Hash de la clave en formato Raw
  5. 	$ivlen = openssl_cipher_iv_length($cipher);					// Obtenemos el tamaño del Vector Inicializado de acuardo a la Suit de cifrado que estemos utilizando
  6. 	$iv = openssl_random_pseudo_bytes($ivlen);					// Obtenemos $ivlen bytes random no nos interesa saber su valor
  7. 	$token = hash("sha256",random_bytes(32));	//Token sin cifrar este valor nuca lo ve el UserAgent
  8. 	$token_cifrado = openssl_encrypt($token,$cipher,$realkey,OPENSSL_RAW_DATA,$iv); 
  9. 	$salida = base64_encode($token_cifrado);					//Este valor si lo ve el User Agent
  10. 	echo "token: ".$token."\n";
  11. 	echo "token cifrado, salida raw: ".$token_cifrado ."\n";
  12. 	echo "token cifrado, salida base64: ".$salida."\n";
  13. 	$entrada = base64_decode($salida);
  14. 	$token_decifrado = openssl_decrypt($entrada,$cipher,$realkey,OPENSSL_RAW_DATA,$iv);
  15. 	echo "token decifrado: ".$token_decifrado ."\n";
  16. 	if($token_decifrado == $token)	{
  17. 		echo "token correcto\n";
  18. 	}
  19. 	else	{
  20. 		echo "token Incorrecto\n";
  21. 	}
  22. ?>

Si vemos el codigo anterior el "token" que enviaremos al usuario es la salida en base64 del token previamente cifrado.

Acontinuacion una posible salida de las casi infinitas salidas....
Código:
token: 5ab8aac170554a2683e0cc0534a34e80d0f16031a13faa3c3a5ee44902b2c6a1
token cifrado, salida raw: CU?!,F8C4d1su
        SN{|큮vDjUa=qQKKKȀE#(@/I
token cifrado, salida base64: AUO6plUB9j8h+IvsyixGOAfZQzRkCzG84XN1vN7X2Aq2CVNOont87YGudsJEq2q1VWE9vZhxqJWfUUviv0tL9ciA+kWTI74oGEAvl4sSSak=
token decifrado: 5ab8aac170554a2683e0cc0534a34e80d0f16031a13faa3c3a5ee44902b2c6a1
token correcto

La idea en este caso es enviar la informacion cifrada al usurio y cuando este la envie devuelta se descifra y se compara con la almacenada previamente en la $_SESSION del usuario.
Cosas que se pueden mejorar el valor de nuestra Key inicial podria ser un archivo random en nuestro servidor generado previamente, podriamos tener una llave distinta por usuario, etc etc etc...
389  Programación / Desarrollo Web / Re: [Aporte]: Sistema Anti ataques CSRF (Espero sugerencias) en: 13 Diciembre 2019, 18:16 pm
Cita de: @?0!,5^34 en 13 Diciembre 2019, 10:22 am
Estoy ciego o te falta la función hash_data() ?

Lo mismo estaba por comentar.

La funcion create_code podria quedar mas sencilla.

Código
  1. <?php
  2. function Create_Code()
  3. {
  4. 	return hash("sha256",openssl_random_pseudo_bytes(1024));
  5. }
  6. ?>
  7.  


Por cierto tus llamdas a la funcion Validate_Token no van a funcionar ejemplo:

Código:
   if(Validate_Token('token_profile', $_GET['token_csrf']))
Código:
Validate_Token('token_login'

cuando en el codigo que publicaste dice:
Código:
if(!empty($_SESSION['token_'.($page)]) && $_SESSION['token_'.($page)] === $value)

Con lo cual estarias tratando de valiar la variable $_SESSION['token_token_profile']

Por cierto cree un tema respondiendote como implementar criptografia.
[Aporte] Validacion de token de forma Criptografica, evitar ataques CSRF
390  Programación / Desarrollo Web / Como crear un formulario de comentarios para tu web en: 13 Diciembre 2019, 05:09 am
Funte: Como crear un formulario de comentarios para tu web

Pues nada lo primero es tener el Formulario en HTML.
Posterior mente el javascript para validar el formulario antes de enviarlo
El script en el Backend para volver a validar los datos.
El metodo de almacenamiento del comentario (Base de datos)
Un sistema para evitar que saturen de comentarios basura
Y al final pero mas importante EVITAR SER HACKEADO (xss, sql, file inclusion etc etc etc etc etc)

El codigo en HTML para el formulario utilizando Boostrap:
Código
  1. <h4>Deja un comentario</h4>
  2. <p></small>Tu dirección de correo electrónico no será publicada. <b>Los campos obligatorios están marcados con *</b></small></p>
  3. <div class="form-group">
  4. 	<label for="exampleInputUsername">Nombre *</label>
  5. 	<input type="text" class="form-control" id="exampleInputUsername" aria-describedby="usernameHelp">
  6. 	<small id="usernameHelp" class="form-text text-muted">Nombre para mostrar, este campo si va a ser mostrado</small>
  7. </div>
  8. <div class="form-group">
  9. 	<label for="exampleInputEmail">Correo Electronico *</label>
  10. 	<input type="email" class="form-control" id="exampleInputEmail1" aria-describedby="emailHelp">
  11. 	<small id="emailHelp" class="form-text text-muted">Tu direccion de correo electronico no sera publicada</small>
  12. </div>
  13. <div class="form-group">
  14. 	<label for="exampleInputWEB">WEB *</label>
  15. 	<input type="text" class="form-control" id="exampleInputWEB" aria-describedby="webHelp">
  16. 	<small id="webHelp" class="form-text text-muted">Direccion WEB Segura valida ejemplo: https://www.example.com/</small>
  17. </div>
  18. <div class="form-group">
  19. 	<label for="exampleTextAreaComentario">Comentario *</label>
  20. 	<textarea class="form-control" id="exampleTextAreaComentario" rows="5" aria-describedby="comentarioHelp"></textarea>
  21. 	<small id="comentarioHelp" class="form-text text-muted">Todos los comentarios seran moderados antes de ser publicados</small>
  22. </div>
  23. <div class="form-group form-check">
  24. 	<input type="checkbox" class="form-check-input" id="exampleCheckboxSubscribe">
  25. 	<label class="form-check-label" for="exampleCheckboxSubscribe">Recibir notificaciones de Respuestas a tus comentarios</label>
  26. </div>
  27. <button type="button" class="btn btn-primary">Publicar Comentario</button>
  28. <button type="button" class="btn btn-secondary">Vista Previa</button>
  29. <div id="comentario_vista_previa">
  30. </div>
  31.  
  32.  


Resultado:
Páginas: 1 ... 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 [39] 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 ... 235
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines