elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


  Mostrar Temas
Páginas: [1] 2 3
1  Seguridad Informática / Hacking Ético / Acceder a SMF con contraseña hasheada ¿es realmente posible? en: 11 Mayo 2021, 08:08 am
Hola.

Hace años que utilizó SMF, hoy me cruce en el foro con un post interesante:

Inicio de sesión SMF a través de hash de contraseña

En resumen se argumenta que es posible acceder a SMF mediante una contraseña hasheada (haciendo referencia a que gracias a esto, no sirve de nada el hash ante un posible robo de la base de datos).
Esto ya que mediante el método POST que utiliza el formulario de login lo que se hace es enviar la contraseña cifrada + la sesión ID.

Es decir:
Código
  1. SHA1(hash + session_id)
  2.  

Código
  1. <form action="https://tuforo.ejemplo/index.php?action=login2" name="frmLogin" id="frmLogin" method="post" accept-charset="UTF-8" onsubmit="hashLoginPassword(this, 'add5f76205f957b650bb0a5aa71e6ccd');">
  2. <!-- Viendo esto en el onsubmit-->
  3.  

¿Es realmente es esto posible o entendí mal? Supuestamente está "solucionado" en 2.1.

Edit:
Código
  1. //Función mencionada encargada del hash que viene por defecto en SMF.
  2. function hashLoginPassword(doForm, cur_session_id)
  3. {
  4. // Compatibility.
  5. if (cur_session_id == null)
  6. cur_session_id = smf_session_id;
  7.  
  8. if (typeof(hex_sha1) == 'undefined')
  9. return;
  10. // Are they using an email address?
  11. if (doForm.user.value.indexOf('@') != -1)
  12. return;
  13.  
  14. // Unless the browser is Opera, the password will not save properly.
  15. if (!('opera' in window))
  16. doForm.passwrd.autocomplete = 'off';
  17.  
  18. doForm.hash_passwrd.value = hex_sha1(hex_sha1(doForm.user.value.php_to8bit().php_strtolower() + doForm.passwrd.value.php_to8bit()) + cur_session_id);
  19.  
  20. // It looks nicer to fill it with asterisks, but Firefox will try to save that.
  21. if (is_ff != -1)
  22. doForm.passwrd.value = '';
  23. else
  24. doForm.passwrd.value = doForm.passwrd.value.replace(/./g, '*');
  25. }
  26.  
  27.  


Saludos.
2  Seguridad Informática / Seguridad / Recomendación cifrado/hash. en: 28 Abril 2021, 04:12 am
Hola.

Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

¿Cuál recomendarían/utilizarían ustedes?, ¿existe la necesidad de utilizar uno u otro según la circunstancia de uso que se le da?


Saludos.
3  Foros Generales / Foro Libre / Office gratis ¿? en: 16 Abril 2021, 06:31 am
Hola.

Tengo Oficce 2016, la versión sin licencia en la cual te proveen unas semanas de prueba y luego te bloquean la total funcionalidad del paquete.
Hoy mismo estaba navegando y realizando unas operaciones en access y excel y dí con que había caducado el periodo de prueba, por lo tanto no me dejaba realizar ningún procedimiento de las apps (vencía hoy la licencia, por lo tanto, esa es la razón).

Un impulso me llevo a cambiar la fecha de mi ordenador y ejecutar de nuevo las aplicaciones y funcionaron perfectamente.
Es decir, simplemente con cambiar la fecha antes de iniciar algún programa del paquete (una vez iniciado puedes colocar la fecha actual) me funciona todo sin problemas.

¿Eso es un error o qué?, me da curiosidad que una multinacional tal como Microsoft tanga este tipo de "falla".

Saludos.
4  Comunicaciones / Redes / Evitar sniffer en mi red. en: 12 Abril 2021, 06:19 am
Hola.

Tengo una duda, algo que me preocupa realmente es tener algún usuario conectado a mi red que pueda sniffear el contenido.

¿Hay alguna manera de evitarlo?

Saludos.
5  Comunicaciones / Redes / Conectar dos dispositivos mediante cable ethernet. en: 10 Abril 2021, 00:29 am
Hola.

Tengo dos notebooks, de las cuales una tiene problemas para conectarse al wifi (ordenador 1) y solo se conecta mediante una antena usb, y la otra funciona correctamente (ordenador 2).
Por lo visto falla la entrada usb por lo tanto, el ordenador que se conectaba mediante ese contacto a internet, no está funcionando.

Tengo varios cables ethernet por suerte, pero realmente, no me sirve conectar mi ordenador 1 directamente al modem.

¿Podría de alguna forma conectar el ordenador que falla a internet mediante una conexión desde la entrada ethernet del ordenador 1 al ordenador 2?, es decir: conectar una entrada de el cable ethernet en el ordenador 2 y la otra en el ordenador 1 para transmitir internet de esa forma.

Saludos.
6  Programación / Desarrollo Web / ¿Recomendarían DJANGO? en: 9 Abril 2021, 06:27 am
Hola.

Estoy por culminar una aplicación de escritorio que realice para un proyecto, y el siguiente paso es una aplicación web.
Se podría considerar un proyecto serio, por lo tanto necesitaría un lenguaje/framework que valga la pena realmente.

Dicho eso, consideré el framework Django de Python para realizar la aplicación web.
Tengo conocimiento en Python, ví algo de Django y no se me presento ninguna dificultad, entonces para evitar PHP, opte por dicho frame.
La gestión de la base de datos la haría mediante SQLite3.

Por lo tanto, necesitaría su consejo mediante la respuesta a la siguiente pregunta:
¿Pros y contras de Django?
7  Seguridad Informática / Seguridad / /phpmyadmin/ ¿Grave error? en: 6 Abril 2021, 06:27 am
Hola,
 
varias veces me cruce con algún que otro sitio que utiliza phpMyAdmin como gestor para administrar MySQL, y que tenía dicho directorio a la vista y acceso de todos.
Es increíble realmente, la cantidad de sitios que poseen estas fallas sin tener la mínima noción de esto.

Debido a eso me surge una pregunta;
¿Además de la probabilidad de que realicen un ataque de fuerza bruta, o la afección que pueden tener por culpa del setup al alcance de cualquiera, hay algún otro riesgo que se corre?, ¿algún otro directorio al que no deberían tener acceso los usuarios sin privilegios?


Saludos.
8  Seguridad Informática / Seguridad / ¿VPN GRATUITO? en: 3 Abril 2021, 00:20 am
Hola,

ProtonVPN dejo de ceder su servicio gratuito del cual muchos gozabamos, con acceso a distintas conexiones con gran variedad de paises, y lamentablemente no conozco muchos otros proovedores de protección que sean fiables.

¿Cuál recomiendan y por qué?
9  Seguridad Informática / WarZone / ¿Revivirán esto? en: 23 Marzo 2021, 05:01 am
Hola
Estaría bueno que revivan el wargame, hay alguna posibilidad de que esto suceda?
10  Foros Generales / Sugerencias y dudas sobre el Foro / "Mostrar nuevas respuestas a tus mensajes"; ¿fallo? en: 18 Marzo 2021, 07:38 am
Hola a todos;

En esta ocasión vengo a consultarles una duda que me surge debido a que en repetidas oportunidades, al clickear sobre "Mostrar nuevas respuestas a tus mensajes." no me aparece ningúna notificación nueva, pero luego doy con que sí hay varias respuestas nuevas a posts donde he comentado.

¿Está funcionando mal el sistema?, me paso varias veces como mencione, la última fue hoy.
El día de ayer realice un comentario en un post en la sección scripting; hoy clickee sobre el hípervinculo mencionado y no me apareció ninguna notificación, pero al acceder a dicha publicación aparecía una nueva respuesta.

Saludos.
Páginas: [1] 2 3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines