elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Página de elhacker.net en Google+ Google+


  Mostrar Mensajes
Páginas: 1 2 3 4 5 [6] 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 ... 1445
51  Seguridad Informática / Nivel Web / Re: ataques weak session ids en: 1 Diciembre 2017, 15:20
exacto, literalmente como te di el ejemplo
52  Seguridad Informática / Nivel Web / Re: ataques weak session ids en: 1 Diciembre 2017, 14:58
al iniciar la sesión guardas la ip como variable de sesion, y luego todas las conexiones las comparas, si no es la misma ip, destruyes la sesion

Código
  1. // en login
  2. $_SESSION["ip"]=$_SERVER["REMOTE_ADDR"];

en carga de pagina
Código
  1. if($_SESSION["ip"] != $_SERVER["REMOTE_ADDR"]) destruir_sesion();
53  Seguridad Informática / Nivel Web / Re: ataques weak session ids en: 1 Diciembre 2017, 14:37
si se llevan el PHPSESSID y no tienes algún metodo de confirmación, secuestrarán la sesión... lo primero para evitar esto es validar sesión contra ip, si la conexión no es la misma ip, ignoras la peticion
54  Seguridad Informática / Nivel Web / Re: ataques weak session ids en: 1 Diciembre 2017, 14:22
Código:
if ($_SERVER['REQUEST_METHOD'] == "POST") {
    $cookie_value = sha1(mt_rand() . time() . "Impossible");
    setcookie("dvwaSession", $cookie_value, time()+3600, "/vulnerabilities/weak_id/", $_SERVER['HTTP_HOST'], true, true);
}

no se de donde sacaste eso... pero no del todo, me referí a múltiples cosas

55  Sistemas Operativos / GNU/Linux / Re: (Consulta) Las endemoniadas expresiones regulares en: 1 Diciembre 2017, 14:18
en tal caso si necesitas explicacion o pruebas, estas paginas son utiles

https://regex101.com/
https://regexr.com/

sed es una aplicacion que leer un archivo (o stream) linea a linea y aplica regex


sobre los comandos la primera s implica substitución y la ultima p implica imprimir el resultado

de resto sinceramente no entiendo mucho el sentido... creo que es porque sed no parece aplicar el regex por completo (es decir, los $ deberán tener \ al igual que los parentesis, pero más adelante si los tienen)...
56  Seguridad Informática / Nivel Web / Re: ataques weak session ids en: 1 Diciembre 2017, 13:54
aclaracion: la contraseña no está cifrada, sha256 es un hash

digamos que tienes 3 niveles de control con respecto a sesiones, de más alto a más bajo

1- session_start(): el normal de siempre, simplemente usarlo e iniciar sesión
2- session_id(): te permite establecer el id de sesion a mano ejemplo de uso
Código
  1. $sid = md5('numero al azar');    
  2. session_id($sid);
3- $_COOKIE + MySQL: este metodo es establecer en una tabla temporal de MySQL la session y manejarla tu totalmente a mano desde COOKIE

ojo, control != seguridad

con lo que respecta a seguridad las capas de seguridad serían (cada vez más radical pudiendose hacer hasta molesta para el usuario), se pueden aplicar independiente o apiladas

-establecer una sesión (lo básico de arriba)
-validar sesión contra ip
-validación de sesión por huella de navegador por $_SERVER
-validación de sesión por huella de navegador por <script>
-cambiar id por petición hecha

espero esto te sirva de algo
57  Foros Generales / Dudas Generales / Re: ¿Complemento para mostrar automáticamente el texto oculto de un foro? en: 1 Diciembre 2017, 00:45
ojo, es cosa de analizar que hace el enlace el link "show/hide", luego ver quien está ocultándose

me fijo que en este se está trayendo el js  (no se si en el cuarpo principal o por referencia) y por eso oculta incluso guardando la pagina en local... para desocultar mi análisis da con escribir esta linea

Código
  1. $("table.collapsible.autocollapse  tr").each(function(){ $(this).show() })

58  Foros Generales / Dudas Generales / Re: ¿Complemento para mostrar automáticamente el texto oculto de un foro? en: 1 Diciembre 2017, 00:18
Cierto, si los abro y los guardo en ese estado si se muestra el texto oculto, pero tener que abrir todos los textos ocultos es tedioso, y solo me pasa en la Wikia.

Espera, dijiste que los JS no se guardan, pero yo he usado Scrapbook Plus y activo la opción de guardar JS pero a pesar de eso sigue igual, en ese caso conoces algún complemento que descargue correctamente el javascript? incluso con eso me es suficiente porque me interesa guardarlos localmente.

realmente no se, usualmente los descargo y modifico a necesidad o abro todo y guardo como imagen (en chrome uso fireshot y doy a "guardar pagina entera")

este es el resultado (click para ver en tamaño normal)




59  Comunicaciones / Redes / Re: [Ayuda] Cual dispositivo elegir en: 1 Diciembre 2017, 00:00
puedes con antenas normales (si si están visibles una de la otra) con latas de aluminio hacer parabolicas direccionarles y apuntarlas
60  Foros Generales / Dudas Generales / Re: ¿Complemento para mostrar automáticamente el texto oculto de un foro? en: 30 Noviembre 2017, 23:58
¿por qué al guardar cómo html una página con show/hide y luego al abrirlo localmente esos botones no sirven? ¿hay alguna forma de hacerlo funcionar? bueno, esto último es random.

porque esas funciones son en javascript y usualmente no se guarda el js, en tal caso tienes que revisar el html y volverlos a referencias (aunque algunas veces se puede volver un dolor de cabeza), peculiarmente este por su forma de funcionamiento se quedaràn todos abiertos si la descargas y luego en el html le eliminas todos los <script ..... </script>

Páginas: 1 2 3 4 5 [6] 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 ... 1445
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines