elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


  Mostrar Mensajes
Páginas: 1 [2] 3
11  Programación / PHP / Re: Proteger login contra bruteforcers en: 27 Febrero 2009, 01:33 am
Sí, captcha ya he usado. Pero es algo engorroso que los usuarios tengan que estar escribiendo letrillas. Me dijeron que con un input hidden se podría hacer, estuve haciendo pruebas y no consegui nada jeje.

Un saludo, gracias
12  Programación / PHP / Proteger login contra bruteforcers en: 27 Febrero 2009, 00:22 am
Hola buenas!

Bueno estaba haciendo un login para mi web con php, mysql.
Bueno por ejemplo:

Código
  1. <form action="/index.php" method="post">
  2. <p>
  3.  <input type="text" name="usuario" value="Nombre usuario" onClick="this.value=''">
  4.    </p>
  5. <p><br>
  6.      <input type="password" name="clave" value="Password" onClick="this.value=''">
  7.  <br>
  8.  <br>
  9.      <input type="submit" name="enviar" value="Enviar">
  10.  
  11.    </p>
  12. </form>

compruebo que si $_POST['enviar'] tiene valor, cogo $_POST['usuario'] y $_POST['clave'], envio la consulta a la db, si me devuelve algun resultado, creo una session, sino muestro el típico error.

Entonces cualquier persona malintencionada que vería el login de mi web, podría ver los nombres de los campos que uso para enviar el usuario, password (en el fuente html), el error que muestra al no hacer login, hacerse un pequeño script en perl o en lo que sea y enviar valores mediante peticiones POST a los campos hasta obtener usuario, password...

Soluciones??
pues sí, se podría usar captcha, una tabla en la db que guarde los logins fallidos por ip, si hace 3 o los que sea bloquee la ip y tal...

Alguien sabe hacerlo de otra forma y que sea seguro?

Un saludo y gracias de antemano...
13  Programación / PHP / Ayuda con sistema login en: 27 Agosto 2008, 19:47 pm
hola a todos
estoy creando un sistema de login para mi web pero veo que me estoy liando y nose de que forma hacerlo seguro, esto es lo que llevo hecho:

esta es la tabla SQL:

Código
  1. CREATE TABLE users(
  2. id INT NOT NULL AUTO_INCREMENT,
  3. PRIMARY KEY(id),
  4. username VARCHAR(30) NOT NULL,
  5. password VARCHAR(20) NOT NULL);
  6.  
  7. -- USERS --
  8. INSERT INTO `users` VALUES (1, 'admin', '827ccb0eea8a706c4c34a16891f84e7b');


Aquí el code php (login.php):

Código
  1. <?php
  2.  
  3. $dbhost = 'localhost';
  4. $dbuser = 'root';
  5. $dbpass = '12345';
  6. $db = 'web';
  7.  
  8. $conectar = mysql_connect($dbhost,$dbuser,$dbpass);
  9. mysql_select_db($db,$conectar);
  10.  
  11. if (isset($_SESSION['admin_username'])){
  12. echo "Ya estás autentificado";
  13.        header("Location: admin.php");
  14. }
  15.  
  16. if ($_POST['username']) {
  17. $username = $_POST['username'];
  18. $password = $_POST['password'];
  19.  
  20.  
  21. if ($password==NULL) {
  22. echo "La password no fue enviada";
  23. }
  24.  
  25. else{
  26. $query = mysql_query("SELECT username,password FROM users WHERE username = '$username'") or die(mysql_error());
  27. $data = mysql_fetch_array($query);
  28. if($data['password'] != md5($password)) {
  29. echo "Login incorrecto";
  30. }
  31.  
  32. $query = mysql_query("SELECT username,password FROM users WHERE username = '$username'") or die(mysql_error());
  33. $row = mysql_fetch_array($query);
  34. $_SESSION["admin_username"] = $row['username'];
  35. echo "Has sido logueado correctamente ".$_SESSION['admin_username']." y puedes acceder al admin.php.";
  36. }
  37. }
  38. ?>
  39.  
  40.  
  41. <form action='login.php' method='POST'>
  42. <table style='border:1px solid #000000;'>
  43. <tr>
  44. <td align='right'>
  45. Nombre de usuario: <input type='text' size='15' maxlength='25' name='username'>
  46. </td>
  47. </tr>
  48. <tr>
  49. <td align='right'>
  50. Password: <input type='password' size='15' maxlength='25' name='password'>
  51. </td>
  52. </tr>
  53. <tr>
  54. <td align='center'>
  55. <input type="submit" value="Login">
  56. </td>
  57. </tr>
  58. <tr>
  59. <td align='center'>
  60. </td>
  61. </tr>
  62. </table>
  63. </form>

Creo que me estoy complicando bastante para lo que quiero hacer, tambien hay un par de SQL Injections por ahí... ¿Como lo podría mejorar? ¿Qué cambiarian del código? ¿Cómo lo puedo hacer más seguro?

cheers!
14  Programación / PHP / Duda con Remote File Disclosure en: 13 Agosto 2008, 14:40 pm
Hola buenas.

¿De que manera podría parchear un Remote File Disclosure?
Ejemplo código:

Código
  1. <?php
  2.  
  3. $filename = $_GET['filename'];
  4. $fp = fopen($filename, 'r');
  5. $doc = fread($fp, filesize($file));
  6. echo $doc;
  7.  
  8. ?>

Con este tipo de fallo el atacante podría leer cualquier archivo de texto plano:
http://localhost/archivovulnerable.php?filename=/etc/group

¿Qué formas habría de solucionar este fallo?

Salu2
15  Seguridad Informática / Materiales y equipos / Re: ¿Que les parece este chip? en: 10 Agosto 2008, 21:18 pm
Alguien sabe más o menos cuanto tardan en enviarte lo comprado en la tienda de seguridadwireless por el envio gratuito?

saludos.
16  Seguridad Informática / Materiales y equipos / Re: ¿Que les parece este chip? en: 7 Agosto 2008, 04:17 am
Listo, comprado.

  • - USB Wireless 54Mbps 802.11g Chipset Zydas + Antena RP-SMA (Modo monitor solo en Linux)

  • - Antena Interior Omnidireccional 9dbi

39.62€, espero no arrepentirme de la compra.

Saludos  ;D
17  Seguridad Informática / Materiales y equipos / Re: ¿Que les parece este chip? en: 6 Agosto 2008, 21:50 pm
http://seguridadwireless.comprawifi.com/index.php?act=viewProd&productId=56
Esta antena si que funcionará con la tarjeta, no?
También tendría que comprar algun cable para sacar la antena por la ventana de vez en cuando...  :P

Salu2
18  Seguridad Informática / Materiales y equipos / Re: ¿Que les parece este chip? en: 6 Agosto 2008, 11:06 am
Hombre esa vale 50,50€, he visto esta:
http://www.ciudadwireless.com/product_info.php?products_id=957
Si la añades una antena de 9 dBi sale por 22.58+15=37.58

Pero entre el IVA, el transporte y tal te sale por 51€ =/

Saludos.
19  Seguridad Informática / Materiales y equipos / Re: ¿Que les parece este chip? en: 6 Agosto 2008, 10:17 am
Tarjeta me recomendais alguna mejor y que no pase de 40€?
Saludos.
20  Seguridad Informática / Materiales y equipos / Re: ¿Que les parece este chip? en: 6 Agosto 2008, 10:11 am
y la antena de 9 dBi por cuanto me podría salir?
Con una antena 9 dBi omnidireccional cuanto más o menos de distancia podría coger?

Saludos y gracias por responder.
Páginas: 1 [2] 3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines