| |
|
71
|
Seguridad Informática / Seguridad / Re: Seguridad contra ataques de XSS
|
en: 14 Agosto 2013, 17:21 pm
|
htmlentities()encoding
Al igual que htmlspecialchars(), htmlentities() toma un tercer argumento opcional encoding el cual define la codificación usada en la conversión. Si se omite, el valor por defecto para este argumento es ISO-8859-1 en versiones de PHP anteriores a 5.4.0, y es UTF-8 desde PHP 5.4.0 en adelante. Aunque este argumento es técnicamente opcional, es altamente recomendable especificar el valor correcto para el código. Salu2!
|
|
|
|
|
72
|
Seguridad Informática / Seguridad / Re: Seguridad contra ataques de XSS
|
en: 14 Agosto 2013, 01:13 am
|
Primero que nada actualiza la versión del PHP a la actual, igual el MySQL (si es que lo utilizas). Hablando de funciones " mágicas" del PHP para la seguridad, cabe aclarar la diferencia de validar y sanitizar. Para validar recomiendo filter_var() (tanto para SQLi como XSS, o cualquier entrada del usuario) Y para sanitizar puedes usar htmlentities($str,ENT_QUOTES) (no es necesario declarar el charset del UTF-8). busca también sobre strip_tags() [yo la uso para "limpiar" la entrada del usuario cuando vaya a ingresarlo a una bd], htmlspecialchars() [Es casi lo mismo que la htmlentities()]. Nunca uses expresiones regulares en javascript, si lo vas a hacer que sea en PHP, su efectividad depende de tus conocimientos sobre ataques, sólo tú puedes saber si es segura o no  PD: En las SQLi usa PDO  Salu2! |
|
|
|
|
73
|
Programación / Programación General / Re: Empezar
|
en: 13 Agosto 2013, 19:52 pm
|
Justo hay un curso que así se llama "codigofacilito" (buscalo  ) Por otro lado, no has dado NADA de info, qué te gustaría hacer con la programación, qué conocimientos previos tienes, cual lenguaje te interesa. Antes de contra-preguntarme "¿Qué se puede hacer con la programación" o "¿Cuál lenguaje es mejor?" ponte a buscar un poco  Salu2! |
|
|
|
|
74
|
Seguridad Informática / Seguridad / Re: porque se llaman troyanos
|
en: 13 Agosto 2013, 19:45 pm
|
lo raro es que hay miles de TRJ. osea troyanos que detecta el antivirus y solo uno conoce unos pocos como el poison el brifrost entre otros, por eso era la pregunta como que hay mas 1000000 TRJ ? para mi son adware u otro tipo de malware y el antivirus lo clasifica como troyano.....
El asunto es que no son "tipos de troyanos" los que te detecta el antivirus, sino el nombre de la firma que lo reconoce como malware, busca un poco sobre firmas y heurísticas de los AV's. Salu2! |
|
|
|
|
75
|
Seguridad Informática / Hacking / Re: ¿No hay moderación en "Hacking Avanzado"?
|
en: 13 Agosto 2013, 19:43 pm
|
Me atrevo a decir que el 80% de los que publican (hoy en dia) dudas en esta zona, ni se molestan en leer las reglas. Supuestamente: Hacking Avanzado (Moderadores: ANELKAOS, TRICKY) ANELKAOS lleva poco más de 4 meses inactivo TRICKY lleva poco más de 1 mes. El asunto es que no creo que haya ningun problema en que se posteen dudas, creo que si no se dejara publicar dudas y fuera solo de manuales estaría muy mal. No esperes que el/los moderadores estén las 24/7 pegados en el foro para "limpiar" la zona, sin embargo hay muchos moderadores que limpian el foro dia a dia, y creo que eso se debe reconocercelos en vez de poner puros post de críticas...  Salu2! |
|
|
|
|
76
|
Seguridad Informática / Seguridad / Re: porque se llaman troyanos
|
en: 12 Agosto 2013, 22:54 pm
|
Como bien te dicen, que no se vea que te estén controlando el PC, no significa que no lo estén haciendo, si has usado el poison ivy como dices, deberías saberlo... entonces porque se llaman troyanos?
Hacen alusión a la batalla de troya, el famoso "caballo de troya" que pasó al campo del enemigo sin que se dieran cuenta, y desde adentro atacar. Salu2! |
|
|
|
|
77
|
Programación / PHP / Re: Seguridad en uploader
|
en: 10 Agosto 2013, 19:24 pm
|
Lo vas a implementar a nivel local o lo tendrás en un hosting?
De ser lo segundo déjame decirte que subir archivos a veces resulta algo tedioso.
En algunos casos tienes que dejar definido los permisos de lectura/escritura y en algunos otros otorgar permisos desde código.
Aunque opino que es "más seguro" la segunda opción.
Saludos.
Por el momento de forma local (en forma de practica) para despues cuando se necesite montarlo en un hosting... Por el tema de los permisos no hay problema, sé cómo hacerlo ¿Alguien sabe si es vulnerable? Salu2! |
|
|
|
|
78
|
Programación / PHP / Seguridad en uploader
|
en: 9 Agosto 2013, 22:34 pm
|
He estado leyendo algunos tutoriales y demás sobre la seguridad en los sistemas de upload (con PHP) desde hace tiempo, y creo que tengo un uploader seguro, me gustaría saber si encuentran alguna vulnerabilidad. <!DOCTYPE html> <html> <head> <style> body,html{ background-color:black; color:white; text-align:center; } table{ background-color:green; margin-left:auto; margin-right:auto; border:1px solid white; padding:5px; } </style> <title> UPLOADER v1.2</title> </head> <body> <h2>UPLOADER v1.2</h2> <table> <form action="uploader1.php" method="post" enctype='multipart/form-data'> <tr> Seleccionar archivo: <br> <td> <input type="file" name="file"/> </td> <td> <input type="submit" name="upload" value="Subir!" /> </td> </form> </table> </body> </html>
<html> <head> <meta charset="utf-8"> <title> UPLOADER v1.1</title> <style> body,html{ background-color:black; color:white; text-align:center; } #show{ background-color:green; border:1px solid white; padding:5px; } </style> </head> <body> <h2>UPLOADER v1.2</h2> <h3> Información del archivo: </h3><br> <span id="show"> <?php if(!isset($_FILES['file'])){ header("Location: uploader1.html"); } $dir = 'uploader/'; // Ruta $tmp = $_FILES['file']['tmp_name']; $name = $_FILES['file']['name']; $permitidas = array('txt','rar','zip'); // Extensiones permitidas $ext = pathinfo($name, PATHINFO_EXTENSION ); // Sacamos la extension function validar($ext,$permitidas){ $v = in_array($ext,$permitidas) ? TRUE : FALSE ; return $v; } if(validar($ext,$permitidas)){ echo move_uploaded_file($tmp, $dir.$name) ? "Archivo subido correctamente <a href='$subido'>Aqui</a>" : 'No se ha podido subir el archivo'; }else{ echo 'Archivos con la extension '.htmlspecialchars($ext,ENT_QUOTES).' no son permitidas'; } ?> </span> </body> </html>
PD: No soy buen diseñador (como lo habrán notado xD) me gustaría ver consejos también del css. Salu2! |
|
|
|
|
79
|
Foros Generales / Foro Libre / Re: ¿Por que son tan rudos con los noobs?
|
en: 7 Agosto 2013, 04:43 am
|
La causa principal suele ser (como bien te han dicho ya) que son preguntas "estúpidas" (estilo hackear facebook, hotmail, etc...), o simplemente porque son preguntas donde ni siquiera se han dado el interés de buscar por ellos mismos. Otra razón suele ser la ortografía, d3 lo0x que excriv3n asYyy (de los que escriben así)  Preguntas mil veces respondidas, etc, etc... Con el tiempo te acostumbras como usuario (forero) de ver ese tipo de respuestas a usuarios que solo buscan "ayuda". Salu2! |
|
|
|
|
80
|
Seguridad Informática / Nivel Web / Re: Duda con sqlmap
|
en: 4 Agosto 2013, 06:17 am
|
No publico mucho pero siempre paso bastante tiempo leyendo por aquí Estoy haciendo un dump a una tabla que en realidad es bastante grande (nada mas que 77820 entradas) Mi duda es la siguiente: Puedo apagar el sistema y cuando vuelva a iniciarlo volver a ejecutar el "--dump" y seguirá desde donde estaba o va a iniciar de nuevo?  Gracias.  Pues man, porqué no lo pruebas y nos dices debería empezar de nuevo a menos que tenga un estilo de caché... Salu2 |
|
|
|
|
|
| |
|
Mostrar Mensajes