elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 [15] 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ... 61
141  Programación / Desarrollo Web / [Pregunta]: Lista de vulnerabilidades en una aplicación web (OWASP TOP 10) en: 15 Enero 2020, 16:16
Buenos días, la idea con esto es de que si alguien sabe de alguna solución para estos ataques o vulnerabilidades lo pueda comentar, además que voy a estar buscando por mi cuenta y al final si no me morí en el intento voy a publicar las soluciones para cada problema con código + el código que ustedes comenten. (o un link hacia un vídeo, o documentación que lo explique más a fondo)

La lista de vulnerabilidades son los TOP 10 de OWASP desde el 2003 hasta el 2017 (que imagino es el más reciente)

  • Control de acceso interrumpido
  • Pérdida de autenticación y gestión de sesiones
  • Ejecución de ficheros malintencionados
  • Exposición de datos sensibles
  • Referencia insegura y directa a objetos
  • Entidades Externas XML (XXE)
  • Desbordamiento de bufer
  • Falsificación de peticiones en sitios cruzados CSRF https://foro.elhacker.net/desarrollo_web/aporte_sistema_anti_ataques_csrf-t501705.0.html
  • Configuración de seguridad incorrecta
  • Revelación de información y gestión incorrecta de errores
  • Almacenamiento criptográfico inseguro
  • Ausencia de control de acceso a las funciones
  • Almacenamiento inseguro
  • Falla de restricción de acceso a URL
  • Deserialización Insegura
  • Fallas de administración remota(no aplicable)
  • Negación de servicio
  • Comunicaciones inseguras
  • Redirecciones y reenvíos no validados
  • Registro y Monitoreo Insuficientes
142  Programación / Desarrollo Web / [Pregunta]: ¿Robo de sesiones? en: 15 Enero 2020, 05:12
¿Qué? ¿Me pueden robar las sesiones?

- Estuve buscando y parece ser que eso es muy posible, y se puede hacer hasta en facebook, hotmail, wordpress... No es mentira cuando dicen que la informática es una industria que está rota.

La verdad no lo esperaba porque bueno pensaba que una $_SESSION es algo parte de el código del servidor de una aplicación (backend) y que por tanto nadie podría tener acceso a eso, hay "pequeñas soluciones (no algo que termine con el problema)" pero la verdad nose porque si ni facebook puede evitarlo del todo...

Estoy algo confundido y no se por donde empezar para arreglar esto si es posible, algún consejo?  :laugh:

143  Programación / Desarrollo Web / Re: [Pregunta]: ¿$_SESSION'S "eternas"? en: 15 Enero 2020, 01:32
SESSION'S no es el plural de session, solo significa que lo que sigue pertenece a ese sujeto... Engel's como un nombre de un lugar, significaría que ese es el lugar de Engel...


sobre las cookies te debes haber saltado algo en los estudios...

Código
  1. ini_set('session.cookie_lifetime', '0');
  2. ini_set('session.gc_maxlifetime', '0');

sobre las cabeceras HTTP, la cabecera set-cookie, por MDN
https://developer.mozilla.org/es/docs/Web/HTTP/Headers/Set-Cookie

directiva expires
si no esta especificado tomasu valor por defecto, que es 0

mismo documento, explicacion session cookie


sobre el parámetro session.cookie_lifetime en ini_set segun php.net
https://www.php.net/manual/es/session.configuration.php#ini.session.cookie-lifetime



aunque son los valores por defecto una y ora vez le repites "hasta que se cierre el navegador"

en pocas palabras lo ultimo que quieres es 0... quieres un valor muy alto, por ejemplo 30 dias desde la fech de entrega... (el valor es en segundos)

Siempre lo había asociado con el plural, no solamente aprendo programación acá.. sino a hablar bien xD

Gracias.
144  Programación / Desarrollo Web / [Pregunta]: ¿$_SESSION'S "eternas"? en: 14 Enero 2020, 23:59
Buenas tardes,
hace tiempo había publicado un tema donde preguntaba como podía hacer que la session durara hasta que el usuario cierre el navegador, por lo cual la solución era...

Código
  1. ini_set('session.cookie_lifetime', '0');
  2. ini_set('session.gc_maxlifetime', '0');
  3.  

Pero ahora quiero que la session sea eterna, que nunca se termine por más que el usuario cierre el cliente (navegador), apague la computadora, dispositivo, quiero que su session siga vigente... twitter estuve viendo y funciona no se si igual pero a cada rato tengo la sesión abierta sin importar si pasó 1 semana...
145  Programación / Desarrollo Web / Re: [Pregunta]: ¿Por qué suceden los max_execution? en: 13 Enero 2020, 06:41
mala idea, mas bien muchos usuarios bajan el tiempo de ejecucion a 5 segundos... es decir, del usuario no depende, depende del servidor y usualmente tienen de 100mbps para arriba, subir el tiempo de ejecucion solo te hace vulnerable a ataques de flooding como slow loris



Estuve viendo, (ya lo deje como estaba para no hacer macanas) parece un ataque similar a un ataque ddos, no?
146  Foros Generales / Foro Libre / Promedio de edad de los miembros en: 13 Enero 2020, 06:11
Por curiosidad y para pasar el rato qué edad tienen?

- (yo) 19 años

147  Programación / Desarrollo Web / Re: [Pregunta]: ¿Por qué suceden los max_execution? en: 13 Enero 2020, 06:00
Tal parece que por lo que me dí cuenta hace unos minutos es que tarda tanto ciertos sistemas, no por la forma en la que lo programe (me había asustado  :xD) por ejemplo un formulario aveces pasaba que tardaba mucho pero era porque uso google recaptcha v2 (que ya medio foro sabe que lo uso de tantos temas que publique sobre eso  :xD) entonces cuando tengo mala conexión a internet (los vecinos me deben estar robando wifi o anda saber) y lo mismo me pasó ahora con la librería de PHPMailer que tarda un poco más de lo normal porque son librerías o apis que necesitan conexión a internet no tienen nada de localhost... es por eso.. igualmente esto no lo probé tampoco... pero estoy seguro un 80% igualmente mañana lo pruebo con el internet conectado por cable...

Uff que traspire cuando me dijeron que el código podía estar mal   :o :o igualmente cambie el máximo de tiempo a 3 minutos (60*3) para evitar que en un futuro si un usuario tiene una conexión mala como yo ahora le pase eso... entonces el programa se va a quedar esperando un poco más..

Eso explicaría por qué un mismo sistema (envío de un formulario con recaptcha) a veces tarda pocos segundos y otra veces tarda minutos y me manda el error.
148  Programación / Desarrollo Web / Re: [Pregunta]: ¿Por qué suceden los max_execution? en: 13 Enero 2020, 01:11

Gracias!

voy a dejar el tema abierto, por las dudas...
149  Programación / Desarrollo Web / [Pregunta]: ¿Como se que cambios se realizaron en php.ini? en: 13 Enero 2020, 01:10
Buenas noches,

básicamente eso... ¿como puedo saber que cambios hice en mi php.ini ya que hace un tiempo que hice algun que otro cambio pero a día de hoy ya ni me acuerdo... la idea es pasar todas las configuraciones que hice a código php y no tenerlo en el php.ini... así va a ser más fácil cuando lo lleve a un hosting...

Gracias!
150  Programación / Desarrollo Web / Re: [Pregunta]: ¿Por qué suceden los max_execution? en: 13 Enero 2020, 00:43
No te voy a preguntar sobre que puede ser porque ya me dijiste que pueden ser muchas cosas...

En resumen ¿Me podrías dar un ejemplo de un script cualquiera de php donde pueda estar "desbondando"? Gracias!!!  ;-)
Páginas: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 [15] 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ... 61
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines