| |
 Mostrar Mensajes
|
|
Páginas: 1 2 3 [4] 5 6 7 8 9
|
|
31
|
Seguridad Informática / Hacking / Re: ¿Verdad o mito que las webs hechas con CMS son más hackeables de lo normal?
|
en: 17 Octubre 2019, 00:26 am
|
"mas hackeables de lo normal". Difícil de cuantificar o cualificar que es lo normal. Yo me imagino que si alguien quiere montarse su sitio web y se va por la ruta de un CMS le va a ir mejor que aprenderse lo básico de desarrollo web para hacer su sitio. Simplemente, hay demasiadas cosas que uno tiene que considerar a la hora de crear un sitio web. Si alguien quiere crear su sitio web desde cero va a necesitar invertir mucho tiempo en aprender todo lo necesario.
El tema no va de esto. La realidad es que no importa sí usas un CMS o te creaste tu propio sistema. De hecho, no hay garantía que tu sistema sea seguro si escribiste tu sistema de forma perfecta porque todo el stack que utilizas puede ser considerado la superficie de ataque. A mi me han hackeado tanto CMS como sistemas privados. Una de esas veces hasta hackearon el reseller de hosting que alojaba mi sitio (por una vulnerabilidad de un panel privado).
Voy preguntando en varios sitios, y la mayoria que ha tenido muchas paginas worpress, me cuenta que al menos un par de ellas fueron hackeadas, que les pusieron anuncios o redirigian a las personas que entraban a otras paginas. Parece que es bastante comun. |
|
|
|
|
32
|
Seguridad Informática / Hacking / Re: ¿Verdad o mito que las webs hechas con CMS son más hackeables de lo normal?
|
en: 17 Octubre 2019, 00:21 am
|
Tienen fama de ser los más atacados y por tanto donde más vulnerabilidades se suelen reportar. No son los más hackeableas en el sentido de que sean los más fáciles o algo así.
Pero igual, entonces eso quiere decir que mas conviene hacerte la web desde cero que usar Worpress (aunque este no es el tema). Porque WOrpress es como el blanco tentador; en cambio las otras webs ni las miran. Estan mas a salvo. No llaman la atencion. Es como ese dicho "el clavo que mas sobresale recibe el martillazo". El código libre es un arma de doble filo. Publicando el código fuente consigues que la gente encuentre errores y vulnerabilidades y que estas puedan ser solucionadas antes de tiempo o siquiera que puedan ser solucionadas... por otro lado, también abres la puerta a que la gente que encuentre problemas no los reporte.
Eso NO es un fallo de diseño ni nada parecido. No es malo publicar el código fuente, de hecho en muchas ocasiones es la única vía para proyectos que no se financian de forma regular y que son hechos a base de aportaciones de la comunidad.
Ocultar el código fuente no previene la vulnerabilidad si es que esa existe, solo la oculta. A esto se le llama seguridad por obscuridad y no se considera una buena practica.
En esto estoy de acuerdo porque , LInux por ejemplo, tiene fama de ser el sistema mas seguro, y sin embargo abre su codigo a cualquiera que desee estudiarlo, editarlo, etc. Y Microsoft que no hace lo mismo, es el mas inseguro o atacado, segun dicen por ahi. No lo habia visto asi. Probablemente es menos hackeable que una página hecha a mano. En Wordpress ya se ha pensado el sistema de login, el sistema de input, los permisos, las sesiones etc. No es comparable con ponerse a reinventar la rueda y rezar que lo que has hecho es "seguro". Es el problema de muchos programadores novatos, que se creen que si lo hacen ellos, es más seguro y luego ves el código y ni sanitizan, ni previenen CSRF ni previenen robo de sesiones ni nada.
Bueno , si eres programador e intentas hacer tú mismo tu cms, puede que la gente de Worpress esté más capacitada (sobre todo porque son varios cerebros y su proyecto tiene muchos años).. pero si haces una web desde cero, sin ningún "puente de ingreso" hacia tu server, por ejemplo no creas sesiones, ni inputs ni permites la subida de files, etc... O sea, mejor dicho, no haces tu propio CMS sino una web que tú mismo administras con código...Entonces tu sitio, por logica, esta mas seguro. ¿Qué pasa si mi sitio no tiene ningún formulario, ni sesiones ni subida de files, ni nada que sea una puerta abierta a mi server...nada que permita a los usuarios hacer algo en mi sitio (excepto los eventos de las animaciones)? Pues yo creo, sin ser hacker ni nada, que el sitio estaria mucho mas seguro que cualquier CMS, porque no hay accesos (en cambio el CMS tiene puertas abiertas por todos lados, y cada vez que instalas una nueva plantilla o plugins abres mas puertas). Lo otro seria que hackeen el mismo servidor donde esta alojada tu web, cosa que supongo seria muy dificil, y ademas eso ya escapa de tus responsabilidades. Esto también es un concepto que muchos que acaban de entrar en el tema no entienden. Tu cuando ves el código fuente en un navegador, estas viendo solo lo que el sistema te quiere mostrar. Estas viendo lo que le hace falta a tu navegador para mostrarte la página. La lógica que hay detrás de todo como el login, el registro, el manejo de input y sesiones etc.. esta del lado del servidor y tu ese codigo no lo ves.
¿pero acaso en worpress no puedes ver las hojas de codigo PHP? Esta parte no la entiendo. |
|
|
|
|
33
|
Seguridad Informática / Hacking / ¿Verdad o mito que las webs hechas con CMS son más hackeables de lo normal?
|
en: 15 Octubre 2019, 01:36 am
|
Hola a todos  Las paginas web hechas con CMSs, sobre todo las hechas con Wordpress, tienen fama de ser hackeables. EN primer lugar porque el CMS no restringe el acceso al codigo que lo compone (cualquiera puede descargarlo gratuitamente y acceder a su codigo, buscar errores, estudiarlo, etc). En segundo lugar porque son tan famosos que resultan un blanco tentador para muchos. Y en tercer lugar porque, mientras mas plantillas y plugins instalen los dueños de estos CMSs, mas accesos de hackeo abren en su pagina (llamemosles puertas, si quieren), pues, estas aplicaciones externas tienen codigo de diferentes personas, que uno ni sabe si es seguro o si esta compuesto correctamente. Dicho todo esto, pregunto a los expertos en hacking ¿que tan cierto es que una pagina hecha con Wordpress u otro CMS es muy hackeable? ¿Si se lo propusieran ustedes, podrian hackear una pagina con Wordpress ahora mismo? ¿Una pagina que te brinda su codigo de composicion, es mas facil hackear que una que no lo hace? Necesito que personas que sean hackers me aclaren esto de una vez por favor, porque la fama de Worpress es conocida, y los casos comunes de gente hackeada usando este CMS tambien; sin embargo, hay gente que dice que no es cierto todo esto , que es un mito...que hackean a los que cometen errores de seguridad, pero si no los cometes no te pasa nada.... ¿entonces, quien tiene la razon? |
|
|
|
|
34
|
Seguridad Informática / Seguridad / ¿Qué medidas tomar para evitar que me roben internet?
|
en: 12 Septiembre 2019, 21:00 pm
|
|
hola
Debido a que mi internet esta un poco lento (y sin motivo, dado que tengo un buen plan) decidi cambiarle la clave a mi wifi. La primer señal de alerta que encontre fue que , al poner la ip que me dio movistar para hacer sesion e ingresar a mi panel (donde se cambia la clave del wi), me aparece un mensaje en el navegador que dice algo asi como: este sitio no es seguro. alguien intenta robar tu clave. Llame a Movistar para preguntarle por esto y la persona que me atendio me dijo que no me preocupara por eso, que es normal, que no le haga caso, que de click en la opcion "entrar de todas formas". Asi lo hice. Me aparecio entonces un formulario de sesion. Me loguee con el usuario y la clave que me dio la persona de Movistar. Le dije que me parecia inseguro loguearme con un usuario y clave predeterminados, le pregunte que si podia cambiar la clave y el usuario. Me dijo que si se podia pero que es mejor no hacer esto porque se han dado casos de usuarios que olvidan su user y pass y luego no se puede recuperar. Que es mejor que ellos (los de movistar) sepan la clave y el usuario, que no me preocupara, que nadie puede hackear movistar. Luego, adentro de la cuenta, ya pude cambiar la pasword de mi wifi.
Hay dos cosas que me preocupan:
1. El mensaje que me manda el navegador cuando entro a la ip de movistar.
2. Que mi usuario y clave de inicio de sesion sean los que vienen por defecto. Porque pienso ¿de que me sirve cambiar la clave a mi wifi 1 vez al mes, si es que la clave de ingreso a mi panel (donde cambo la clave de mi wifi) siempre va a ser igual? O sea, por logica, si yo quiero crackear la clave de wifi de alguien, antes deberia pasar por la clave que permite al acceso al panel ¿no? y una vez que la tenga, no me va importar cuantas veces el usuario cambie su clave de wifi porque yo ya tengo la clave de inicio de sesion, y esta nunca cambia.
¿estoy en lo correcto?
¿y que se puede hacer ?
¿que medidas toman ustedes para proteger su internet y no dejar que un ratero sinverguenza vago de m# se lo lleve gratis?
|
|
|
|
|
36
|
Seguridad Informática / Hacking / Re: ¿Alguien sabe cómo abrir un ZIP con contraseña olvidada?
|
en: 24 Agosto 2019, 00:14 am
|
sabrás la version del archivo?
a partir de cierta version zip cambió su algoritmo debil (basicamente una comprobación de contraseña nada mas) a usar AES-256, en este ultimo caso hay poco que hacer, recomendaria recopilar una serie de terminos que puedan ser la contraseña o parte de ella y luego usar algun programa para automatizar los intentos y las mezclas
y no XD estas en la sección equivocada "hacking wireless" es mas sobre redes wifi, bluetooth, etc... pero ya movi el tema
no sé la versión recuerdo que hace años cuando le puse la clave me dijeron que eso no eran tan seguro y que cualquiera con conocimientos podria burlar la seguridad, que mejor era hacerlo de otra forma...pero ahora resulta que es casi imposible descifrarla, o sea que si estaba seguro al final bueno gracias por acomodarlo
Yo solo veo 2 caminos. Programa de fuerza bruta que pruebe clave por clave. O hipnosis.
Wireless significa sin cables. Va dirigido a "wi-fi".
jeje deberias ser comico  voy a averiguar sobre el programa de fuerza pero la otra vez lo hice asi, instale uno en linux y no me funciono la clave que arrojó, y se demoró un monton
No, ese truco no sirve, ya lo intenté.. COpia archivos con cero bits |
|
|
|
|
37
|
Seguridad Informática / Hacking / ¿Alguien sabe cómo abrir un ZIP con contraseña olvidada?
|
en: 23 Agosto 2019, 23:41 pm
|
Hola. Antes que todo quiero decir que si el tema esta en la sección equivocada lo muevan y disculpen. No se nada de hack, ni siquiera se que es "wireless" pero algo me dice que estoy es la sección adecuada: Tengo un zip comprimido con contraseña la que olvidé hace años. Quisiera poder descomprimirlo. Hace tiempo intente con varios programas y nunca funcionó. Quiza pienso se pueda hacer sin programas. Tengo sistema GNU-Linux y una distribución derivada de Debian. Intenté quitandole todos los permisos al zip via consola, pero aun asi no se puede Cabe mencionar que los trucos de winrar, tipo: cambiar la contraseña predeterminada o copiar el archivo doble que se hace mientras te pide la contraseña, no me funcionan (lo intenté en windows). |
|
|
|
|
38
|
Programación / Bases de Datos / Re: Método PREPARE de PHP me arroja ERROR FATAL!
|
en: 19 Agosto 2019, 23:53 pm
|
¿Porque no checas el error que tienes en el prepare? Ese error que tienes es simplemente porque $MARIA-prepare() te regreso falso, que significa que hay un error con tu enunciado ahí. Para eso tienes que usar mysqli::error: if($PRE === false) throw new Exception($MARIA->error);
si es seguro, esto sirve para filtrar básicamente cualquier ataque de inyección que son los mas comunes, los parámetros afiliados son tratados como data y no van a ser mal interpretados y ejecutados maliciosamente...
Hola otra vez. Estoy un poco confundido con 'prepare' al momento de retornar los datos de la DB a mi web. Primero ¿es necesario seguir usando Prepare para retornar los datos? Pregunto porque , en el caso anterior me parecia necesario porque debia cuidar los valores que entraban de afuera a mi base de datos, pero en el caso de que quiera "sacar" los valores de mi db no me parece que deba tomar medidas (o sea el proceso es interno, no a la vista de terceros). Yo sabía hacer esto con QUERY() y MSQLI_FETCH_ASSOC() pero ahora PREPARE() me confunde y no sé como llamar a los datos, me está dando error, estoy haciendo algo mal. Si me pudieran poner un ejemplo de como retornar los datos con prepare por favor, con la siguiente sentencia simple de ejemplo.. . SELECT nombre FROM datos |
|
|
|
|
39
|
Programación / Bases de Datos / Re: Método PREPARE de PHP me arroja ERROR FATAL!
|
en: 19 Agosto 2019, 23:02 pm
|
si es seguro, esto sirve para filtrar básicamente cualquier ataque de inyección que son los mas comunes, los parámetros afiliados son tratados como data y no van a ser mal interpretados y ejecutados maliciosamente...
ok gracias y gracias tambien al otro usuario |
|
|
|
|
40
|
Programación / Bases de Datos / Re: Método PREPARE de PHP me arroja ERROR FATAL!
|
en: 19 Agosto 2019, 22:38 pm
|
ese codigo no era para que funcionara, era para que consiguieras el error, ese codigo lo que hace es no pasar la consulta erronea ciegamente, sino verifica si fue valida...
ya lo sé pero digo no arrojó ningún error.. lo mismo que no ponerlo si ayuda, no es super seguro, pero sobre todo ayuda a limpiar los errores dejados atrás por ti como humano
si, nada es 100% seguro, pero yo me refiero a si con eso ya puedo subir datos , digamos teniendo la idea de que ya lo estoy haciendo de una forma medianamente segura. Porque por ejemplo si yo estuviera subiendo directamente con QUERY() ustedes me dirian que use las sentencias preparadas, como diciendo "tu codigo es inseguro"...por eso pregunto, ahora, con este codigo (prepare), ya es algo seguro, quiza no al 100%, pero al menos lo basico o medio? |
|
|
|
|
|
| |
|
