Vale perfecto, voy a implementar el recaptcha

A parte del captcha tengo mas medidas de seguridad para dificultar el brute force, sacadas de http://www.owasp.org/index.php/Blocking_Brute_Force_Attacks

Por ejemplo tengo un sleep($time) en el php de validación que se ejecuta cuando no se valida bien un usuario y su tiempo depende del numero de fallos que tenga. Cuantos mas fallos mas tarda xD
Entonces si llega a 10 intentos fallidos baneo la ip durante unos minutos.

Tambien estoy pensando en implementar la deshabilitacion de la cuenta si se llegan a numeros muy altos de intentos fallidos.. pero aún no lo tengo claro, porque si un usuario malintencionado se hace con un proxy list y empieza a brutear usuarios, al final se van a quedar todos los users deshabilitados jajaj XD

Buenas,
Estoy haciendo un sistema de login y como medida de seguridad para evitar brute force le quiero poner un captcha que salga cuando se ponga mal el login 3 o 4 veces seguidas. No estoy muy informado sobre captchas, pero se que muchos sistemas captcha que usan las webs son facilmente petables (vease megaupload XD). Hay algun captcha seguro a dia de hoy? ReCaptcha??

Es MD5.. y el valor cifrado es 'BOLIVIA' 

Muy buen trabajo WHK

por cierto, falta el round2 de vulnerabilidades google no? 

Yo empezaria por aprender lo basico, primero HTML y javascript. Cuando ya tengas un poco de idea continuaria con PHP y luego SQL para manejar bases de datos mysql,postgresql..

Creo que este seria un buen punto de partida. Luego ya seria cuestion de ir mirando manuales,papers,libros sobre vulnerabilidades web,contramedidas, etc etc

Perfecto

Lo de parsear con el objeto JSON ya lo estuve pensando, pero con navegadores 'viejos' (IE6 por ejemplo) no va a funcionar no?

Es que la gente no se actualiza,usa mucho el ie6.. incluso ie5 XDD

El eval() lo uso para ejecutar un objeto json.. algo asi:

<script>
 
	var var2 = "'};alert('XSS');//";
 
	var json = "variables = {'var1':'aaaa','var2':'"+var2+"'}";
 
	eval(json);
 
</script>
 

En este caso, una manera de evitar el XSS seria escapar comillas.. pero con el \00 o algun otro metodo se puede bypassear?

Pensando un poco, creo que seria mejor poner una expresion regular que solo aceptase caracteres [a-zA-Z] y seria mas seguro. Como lo veis?


PD: Muy buena la pagina de phpjs


EDIT:

algo asi tenia pensado:

<script>
 
	var var2 = "'}alert('XSS')//";
 
	var json = "variables = {'var1':'aaaa','var2':'"+var2+"'}";
 
	if(var2.match(/^[a-zA-Z0-9]*$/)) eval(json);
	else console.log('eivaa');
 
</script>
 

no creo que haya ningun bypass no? 

Buenas!

Estoy haciendo un script con un eval que ejecuta una serie de cosas que se le pasan por variable. Me he puesto a trastear un poco y evidentemente sin filtros ni nada es vulnerable a XSS. Estoy pensando una forma buena para evitar cualquier XSS pero no termino de encontrar algo optimo. En php era facil, usaba un htmlentities y ya me codificaba todos los caracteres a html, pero en javascript nose como puedo hacer el filtro.

Alguna idea de como filtrar?

Me he estado leyendo este paper (muy bueno por cierto) y proponen varios metodos para evitar CSRF. Un metodo que me ha gustado es el de generar un token concatenando varios parametros (por ejemplo 'nombre_del_formulario'+secret+sesionID), encriptarlo y meterlo en un hidden (sin guardar en session). Luego cuando validas el formulario vuelves a hacer la concatenacion y comparas que sea igual que el hidden. Este metodo no necesita guardar nada en session, pero por contra necesita mas cpu para ejecutarlo. Creo que usaré este metodo.. alguna sugerencia??

Ahora me surge otra duda sobre la creacion de los tokens..

Supongamos que tenemos 40 formularios diferentes en el panel y cada vez que el usuario entra en uno se genera un token (se guarda el valor del token en la session).

Si el usuario entra en los 40 formularios sin hacer ningun cambio se generan 40 tokens distintos, la pregunta es: se guardan en diferentes variables de session? (es decir $_SESSION['token_formu1'],$_SESSION['token_formu2'],... ) o se guarda en la misma variable todos los formularios?

Guardarlo en diferentes variables lo veo muy ineficiente, porque si entran 1000 usuarios y se generan tropecientos mil valores en la session, el servidor ira muy cargado. Y si el valor se guarda en la misma variable.. que pasaria si se abren dos formularios distintos en pestañas?? petaria fuerte XD

Nose como seria la mejor forma, alguna idea?

Thx!