Comunidad de diseño web y desarrollo en internet online

Tips de Seguridad, Basicos y avanzados.

Citar            
MensajeEscrito el 15 Jun 2005 03:25 pm
Analizando una de las sugerencias de Pedro, pense que deberia hacer un tema dedicado a esto.
debo aclarar que esto es solo un ejemplo y que no afecta la seguridad de las Bases de datos.
pero de igual manera voy a expresar lo que se al respecto y espero que todo el que conozca del tema pueda agregar algo de información que pueda enriquecer este tema.

pedro escribió:

jhony192 escribió:

Código :

<?
#ejemplo:
#include('lib.inc.php'); //incluir libreria de funciones
#$conex=mysql_connect('host','user','pass');
#mysql_select_db('database',$conex);
?>
Con todo respeto, eso no se debe hacer. No se debe conectar a la base de datos en los archivos que están en el directorio público del servidor. Para mayor seguridad, se mete en un php externo al directorio público y luego lo incluyes.

Con las bases de datos y sus conexiones NO se juega.


tengan bien claro que como dice pedro: "Con las bases de datos y sus conexiones NO se juega."

asi que los detalles que les voy a dar tendran que mejorarlos a gusto y criterio de cada uno de vosotros.

yo sugiero hacer la conexion a la Base de Datos en el archivo
lib.inc.php que por lo general es el que uso para meter las librerias.
y enfocar la seguridad a este archivo.
a continuación el archivo lib.inc.php

Código :

<?
# Aseguramos que no se pueda acceder al archivo via web.
if(basename($_SERVER['PHP_SELF'])=="lib.inc.php")
exit;
function conex()
{
$conex=@mysql_connect('localhost','user','pass');
@mysql_select_db('database',$conex);
return $conex;
}
#aqui metes el resto de las funciones 
?>

note que en cada una de las funciones de mysql he colocado un @
esto es para que en caso de ocurrir algún error no muestre detalles del error al usuario, estos arrobas "@" hay que retirarlos mientras se configura la conexión hasta que sea satisfactoria, luego de ser satisfactoria la conexión se le vuelven a agregar los arrobas, la razón por la cual no queremos que se muestre el error es la siguiente, en caso de que la conexión sea insatisfactoria, nos mostrara un error muy parecido al siguiente:

Código :

Warning: mysql_query(): Access denied for user: 'user@localhost' (Using password: yes) in /home/google/www/sites/lib.inc.php on line 34


para cualquiera puede ser un simple error. pero para un Cracker que este en busca de un "Bug" (agujero de seguridad), esto puede sser un muy buen comienzo para efectuar un ataque, les explico por que, este error esta mostrando al usuario dos cosas que debemos ocultar, primero el usuario de la Base de datos (en este caso "user" ver + arriba) y el servidor donde se encuentra la Base de datos (en este caso "localhost" ver + arriba)

aparentemente esto no parece muy importante, pero creanme podria acceder a una Base de datos solo con esos dos datos.
lo de localhost ya sabemos que es el servidor local y es hasta por defecto el que usaremos, hay otras maneras de asegurar esa parte, y el nombre de usuario tambien para los casos donde permitimos acceder a todos los servidores a nuestra base de datos.

a continuación la forma de Restringir el acceso y limitarlo a solo acceso del servidor local.
voy primero a citar lo siguiente:

jhony192 escribió:


si usas cPanel en la configuración de bases de datos busca al final algo como esto:




Puedes:
1. Agregar % para que pueda acceder cualquier conexion desde cualquier IP (esta opcion es de baja seguridad, no se recomienda)

2. Agregar tu direccion IP

3. en caso de que estes en una red local desde donde tendras que conectarte desde cualquier PC de esa red usa

192.168.1.%
reemplaza 192.168.1
por el inicio de las IPs de tu red
ejemplo que tu red tenga la siguientes direcciones IP

201.243.243.1
201.243.243.5
201.243.243.8
201.243.243.15

usarias en este caso:
201.243.243.%

aqui hacia referencia a el modo de permitir el acceso desde otras maquinas, mientras se esta creando las conexiones desde afuera, como en el caso de conexiones desde Dreamweaver, eso debera ser temporal porque luego de estar terminada nuestra conexión y requerir ponerla a funcionar desde la web no necesitaremos accesos externos, asi que eliminamos % en caso de que haya sido agregado y dejaremos solo localhost o 127.0.0.1 para que solo desde el servidor se pueda acceder, asi limitamos el acceso a solo en el servidor.
mas adelante dare mas detalles sobre seguridad en Mysql, requerden solo permitir acceso a las bases de datos para localhost y 127.0.0.1
esdto aumentara la seguridad en un 13% mas no estara 100% seguro hasta que se hagan ciertos cambios adicionales a otros recursos del servidor.
en el caso del Plesk solo se le permite acceso de este tipo.

PD:La seguridad de tu web solo depende de ti, los cracker solo tienen acceso a las puertas que puedas dejarle abiertas.
usa la logica y encargate de ser tu quien asegure el servidor.:wink:

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  



Ultima edición por jhony192 el 17 Sep 2005 02:30 pm, editado 2 veces

Just Another Programmer

firefox
Citar            
MensajeEscrito el 16 Jun 2005 03:00 am
emmm....lo de dejar la conexion en un archivo aparte se debe mas a practicidad que a seguridad...es por si cambias la base de datos o los passwords sea mas facil de actualizar en todos los archivos. Si quieres hacerlo un poco mas seguro, seria mejor que el archivo lo metas dentro de un folder no publico que no sea accesible mediante ftp (lo subes con ssh) e incluirlo mediante include "/folder/archivo.php" (fijate que pongo el / para indicar que es la raiz principal del servidor)...aunque le veo poco caso...

por otro lado, lo de las IP....es una medida facil de saltar...a final de cuentas si instalas un firewall me parece que puedes cambiar tu IP e identificarte como otra....en ese sentido es mucho mejor manejar sesiones.

Saludos!

Por tangamampilia

.GAIA Developer

961 de clabLevel


6 articulos

Genero:Masculino   Anime Bloggers

México, D.F.

safari
Citar            
MensajeEscrito el 16 Jun 2005 03:34 pm
lo de las IP´s es Facíl de Saltar? primero que nada mi estimado amigo,
no se si no lo habras notado, pero mi especialidad es seguridad, si quieres te creo una Base de datos con tablas, que puedas echarle una probadita a ver si lo saltas.

1º puedes cambiar la IP de tu maquina, como sabes cual es la IP que el servidor admite?
tendras que hacer 4 294 967 296 intentos de cambios de IP para encontrarla.

2º si el servidor esta configurado para solo conexiones locales no habra manera de conectar a base de datos sin tener el script en el mismo servidor. (mas adelante explicare como montar un firewall interno que nos de estadisticas de las conexiones realizadas a bases de datos y que identifique intentos de bruteforce)

3º dime un promedio en porcentajes de usuarios comunes que tienen una base de datos y acceso a SSH al mismo tiempo?
estos son detalles para usuarios basicos, si tienes tu propio server bien por ti, sera bueno en ese caso que expliques como le das permiso a el directorio www para acceder a dicho archivo.

4º un servidor poco seguro puede ser accedido por ftp con fuerza bruta (bruteforce).
sin embargo es nuestra responsabilidad garantizar la seguridad de nuestro servidor.

si tienes alguna pregunta, replica o sugerencia posteala abajo, si tienes quejas insultos o desacuerdos de opinión puedes enviarmelo como mensaje personal(mp) ok...?

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  

Just Another Programmer

firefox
Citar            
MensajeEscrito el 16 Jun 2005 04:50 pm
Bueno ahra que estamos en el tema de seguridad....

La verdad es que quizas monte un sistema de administracion para un club deportivo de unso 3000 socios, quieren una web para informar a sus clientes de actividades [de hecho no pueden coger a mas gente, y tienen lista de espera] Lo que les interesa es ofrecer unos servicios de calidad -gente de dinero- a sus clientes, entre ellos es el desarrollo de un site web de forma escalonada, envio de SMS masivos,... etc etc

La cosa es que quieren pasarlo todo a web, - como ya dije de forma escalonada- aqui en españa tienen que cumplir la ley de proteccion de datos, lo que significa tener un servidor seguro la app tambien.... etc etc, estaria desarrollado con el front-end en flash, por atras en remoting y no se si mySQL o posgrestSQL ...

Que medidas de seguridad tengo que tomar?
En un futuro proximo solo serian avisos, en la web, despues mas cosas, como reservar pistas, apuntarse a cursos... y quizas pasar toda la aplicacion al nuevo sistema... Entonces... para hacerlo bien desde el principio... que hace falta?

Por _CONEJO

BOFH

7639 de clabLevel

17 tutoriales
21 articulos

 

firefox
Citar            
MensajeEscrito el 16 Jun 2005 05:24 pm
Encriptación de Contraseñas con MD5

si vas a usar Flashremoting te recomiendo que en las funciones del servidor midas authenticación de la aplicación, en el servidor mete todas las claves encriptadas con MD5 y asignale una cifra de criptación al md5, ejemplo:

Código :

$query=sprintf("INSERT INTO users (user, pass) VALUES ('%s','%s');",addslashes($user),addslashes(md5($pass."1058")));

al identificarse los usuarios lo pides asi:

Código :

$query=sprintf("SELECT * FROM users WHERE user='%s' AND pass='%s' LIMIT 0,1;",addslashes($user),addslashes(md5($pass."1058")));

recuerda que las claves encriptadas con md5 no se pueden desencriptar asi que tendras que usar un modo de identificación de usuarios para cuando pierdan la clave poder mandarlos a cambiarla.
1058 lo cambias por el numero que mejor te parezca, pero no olvides no botarlo, si es posible guardalo como variable en el archivo lib.inc.php
de manera que no pueda verse de ningún modo.
otro detalle muy importante son los "identificadores de procedimiento", son utiles para asegurar que el formulario no este siendo abierto por un script o aplicacion de bruteforce.

los identificadores de procedimiento son esas imagenes que traen una cifra aleatoria y un campo para ingresar la misma, una aplicación no puede ver una imagen (al menos no por ahora) pero un usuario si.
suerte :wink:

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  



Ultima edición por jhony192 el 22 Jul 2005 05:30 pm, editado 2 veces

Just Another Programmer

firefox
Citar            
MensajeEscrito el 17 Jun 2005 10:16 pm
Seguridad mientras se Desarrolla

generalmente cuando se esta desarrollando un site, se presentan muchos agujeros de seguridad, debido a la constante edición de archivos, pruebas, locuras etc... para evitar que alguien pueda conocer este tipo de errores hay que bloquearlos mientras se edita.
en primer lugar colocar un login y un pass para que identificarte es muy tedioso, cuando tienes que entrar a diario, a demás si usas otra authenticación en las paginas internas te enredaras con las variables HTTP
asi que la forma que yo recomiendo es bloquear a todos los visitantes y permitir solo tu maquina.
primero entras en la carpeta que estas trabajando, editas el archivo .htaccess en caso de que no exista lo creas.
ingresas estas lineas de codigo.


Código :

Order deny,allow
Deny from all
Allow from  xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ErrorDocument 403 "Fuera de Aqui que estoy trabajando"

si ya esta creado te recomiendo que le cambies el nombre y crees este como nuevo.
reemplazas esto: xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
por las IPs a las que quieras permitir el acceso.
si quieres ver un demo haz click aqui: http://demos.icad.com.ve/ :wink:
luego de terminado tu trabajo cambias todo a como estaba.

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  



Ultima edición por jhony192 el 14 Jul 2005 09:17 pm, editado 3 veces

Just Another Programmer

firefox
Citar            
MensajeEscrito el 18 Jun 2005 10:08 pm
Seguridad en Nuestros Archivos de Configuración y librerias.
Cuando queramos que nuestras Librerias no puedan ser accedidas desde la web debemos seguir cualquiera de los siguientes pasos.

1º Meter las librerias en una carpeta y limitarle el acceso a la misma desde WWW, creandole un archivo .htaccess dentro de dicha carpeta he incluyendo las siguientes lineas.

Código :

Order Allow,Deny
Deny from any

en este caso cualquier archivo que este en dicha carpeta no podra ser accedido via Web.
Tambien puedes limitar los accesos según el nombre de archivo
de la siguiente manera:

Código :

<Files ~ "^lib\.">
Order Allow,Deny
Deny from any
</Files>

en esta caso cualquier archivo que comienze por lib. no podra ser accedido desde via web.
espero que os sea de utilidad cualquier sugerencia o algún tip que pueda enriquecer este tema puedes postearlo aqui.

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  

Just Another Programmer

firefox
Citar            
MensajeEscrito el 14 Jul 2005 05:09 pm
Muy importante es estar pendiente de los agujeros de seguridad que hoy en dia se presentan en muchos programas, mantener las aplicaciones del servidor debidamente actualizadas y sobre todo estar bien actualizado con las noticias y reportes de agujeros encontrados en las aplicaciones.
ser un poco paranoico, te evitara muchos dolores de cabeza. ^^
Inyección de SQL
una de las vulnerabilidades que se ven hoy dia en las conexiones a
bases de datos son las de sql-insections que son codigos que insertan mediante las conexiones a DB una sentencia para extraer, modificar o eliminar datos de nuestras tablas he incluso las del servidor mismo.


Antes escribió:

function login($username,$password){
$username = str_replace("'","",$username);
$password = str_replace("'","",$password);
$username = str_replace(";","",$username);
$password = str_replace(";","",$password);
$sql = "SELECT COUNT(id_usuario) FROM usuarios WHERE nombre = '".$username."' AND password='".
}


Despues escribió:


function login($username,$password){
$sql = "SELECT COUNT(id_usuario) FROM usuarios WHERE nombre = '".addslashes($username)."' AND password='".addslashes($password)."';";
}


bueno para empezar el SQL estaba incompleto, XD
ahora explicaré las razónes por las cuales se usan este tipo de precauciones.

contenido escribió:

xpass';
INSERT INTO usuarios FIELDS(usuario,password)VALUES('nuevousuario','nuevaclave');
SELECT COUNT(id_usuario) FROM usuariosWHERE '1

Ejecución:

Código :

archivo.php?usuario=xusuario&password=xpass';INSERT%20INTO%20usuarios%20FIELDS(usuario,password)VALUES('nuevousuario','nuevaclave');SELECT%20COUNT(id_usuario)%20FROM%20usuarios%20WHERE '1

aqui tendriamos el resultado sin addslashes();
si se usa reemplace de igualmanera se puede saltar usando en las comillas doble comillas así: " que de igual manera no afectaría. por ello se usa addslashes.

SELECT COUNT(id_usuario) FROM usuarios WHERE nombre = 'xusuario' AND password='
xpass';
INSERT INTO usuarios FIELDS(usuario,password)VALUES('nuevousuario','nuevaclave');
SELECT COUNT(id_usuario) FROM usuarios WHERE '1
';

el este ejemplo se ha insertado un usuario que antes no estaba permitido a acceder y a demás se ha logueado un usuario con la identificación de el id inferior disponible.
el sistema gestor de bases de datos entendería el query de la siguiente manera:

SGBD escribió:

SELECT COUNT(id_usuario) FROM usuarios WHERE nombre = 'xusuario' AND password='xpass';

INSERT INTO usuarios FIELDS(usuario,password)VALUES('nuevousuario','nuevaclave');

SELECT COUNT(id_usuario) FROM usuarios WHERE '1';


y ahora en el caso de el uso de addslashes() la cosa sería diferente.
SELECT COUNT(id_usuario) FROM usuarios WHERE nombre = 'xusuario' AND password='
xpass\';
INSERT INTO usuarios FIELDS(usuario,password)VALUES(\'nuevousuario\',\'nuevaclave\');
SELECT COUNT(id_usuario) FROM usuarios WHERE \'1
';

y todo el query maligno sería ingresado como un intento de clave, lo cuál retornaría un total de 0 registros ;)


la información a sido extraida de el siguiente enlace:
http://www.cristalab.com/weblog/viewtopic.php?t=12505

a continuación un enlace donde hay mucha información referente
y muy importante, a demás esta en español asi que no te vendria mal
chequearla.

http://www.php.net/manual/es/security.database.sql-injection.php

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  

Just Another Programmer

firefox
Citar            
MensajeEscrito el 07 Dic 2005 07:43 pm
les dejo aqui un enlace muy interesante :

http://phpsec.org/projects/guide/


Especificamente hay una parte muy interesante donde se habla de Sesiones y donde pueden haber ataques a un usuario para obtener su SID de la sesion, y utilizarla para acceder a sitios restringidos.

Por tangamampilia

.GAIA Developer

961 de clabLevel


6 articulos

Genero:Masculino   Anime Bloggers

México, D.F.

safari
Citar            
MensajeEscrito el 21 Jul 2006 06:52 am
Cuando encriptas algun dato con md5 NO hay necesidad de hacer ningun tipo de escape de caracteres para evitar la inyeccion de sql, ya sea addslashes, str_replace, etc; pues la encriptacion de md5 no genera ninguno de los caracteres "problemas".

saludos

Por Maikel

BOFH

5575 de clabLevel

22 tutoriales
5 articulos

Genero:Masculino   Team Cristalab

Claber de baja indefinida

firefox
Citar            
MensajeEscrito el 20 Oct 2006 10:37 am
Hola !!!! soy diseñadora estaba en internet bajando unas imagenes y de repente salio un virus se llama :

vx1game.
zgame1.
vx1.game.

He insatalado Ad-Aware ademas de Maccafe y no se quitan del escritorio , pone que hay 155 infectados, eliminados 31, y Migrados 76, que no se que quiere decir, no se que mas hacer..... ayudenme , si alguien sabe como puedo borrar estos virus , lo agradeceria muchoo.
att: loreta

Por loreta

1 de clabLevel



Genero:Femenino  

06/06/2006

firefox
Citar            
MensajeEscrito el 20 Oct 2006 11:33 am

loreta escribió:

Hola !!!! soy diseñadora estaba en internet bajando unas imagenes y de repente salio un virus se llama :

vx1game.
zgame1.
vx1.game.

He insatalado Ad-Aware ademas de Maccafe y no se quitan del escritorio , pone que hay 155 infectados, eliminados 31, y Migrados 76, que no se que quiere decir, no se que mas hacer..... ayudenme , si alguien sabe como puedo borrar estos virus , lo agradeceria muchoo.
att: loreta
\nadie quiere ayudarme!!!!!! .

Por loreta

1 de clabLevel



Genero:Femenino  

06/06/2006

firefox
Citar            
MensajeEscrito el 20 Oct 2006 11:40 am
Hola, si nadie te contesta es porque ninguno de los que leyo tu post por ahora sabe la respuesta por ahora, de todas formas tu pregunta lleva una hora publicada, no creo que sea tanto esperar...... ¬¬ ¬¬

Si te quieren ayudar, espera a que descubran tu problema y de todas formas recuerda que nadie te está cobrando por esta ayuda asi que tampoco puedes exigir tanto, los que te van a ayudar son personas que estan trabajando o en su tiempo de ocio y no ganan nada aqui ¬¬ ¬¬ es pura generosidad asi que tu tambien debes ser generosa con ellos (con nosotros)

Por Yranac

421 de clabLevel



Genero:Masculino  

Lugo, Galicia

firefox
Citar            
MensajeEscrito el 23 Oct 2006 01:17 am
si te queremos ayudar, instala Norton antivirus, si con eso no se soluciona, respalda los datos y formatea la maquina, lo que quería comentar es lo siguiente, que tiene que ver eso con seguridad?

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  

Just Another Programmer

firefox
Citar            
MensajeEscrito el 01 Nov 2006 01:05 pm
jhony192 esta exelente este foro gracias por tus consejos.

Por EmiR

Claber

678 de clabLevel

2 tutoriales

Genero:Masculino   Héroes

firefox
Citar            
MensajeEscrito el 27 May 2007 08:12 am
Excelente informe!. Estoy hace tiempo preocupado por la seguridad de mi sitio. La verdad es que no he generado ningun tipo de traba para el login ni sabia nada sobre como cuidar el archivo de coneccion.
Gracias. Voy a tratar de implementar las ideas.

Por utopianqn

0 de clabLevel



 

firefox
Citar            
MensajeEscrito el 08 Jun 2007 10:43 pm
Hola.... pues a mi en lo particular también me parece un poco apropiado el uso de stored procedures para eso de la seguridad, puesto que igual al poner el query puede que haya errores, en cambio con el stored procedure pues puedes hacer una doble validaciòn... aunque eso implicaría el aprender PL/SQL... pero es otra opción... y por ejemplo de la captura de datos de los usuarios se tienen que poner como mil validaciones por que no sabes con lo que pueden salir y no necesitan tener conocimientos muy avanzados de computo, pueden ser algo como animalitos salvajes y hacer que truene un sistema :lol: .

Saludos.

Por zelgadiss01

87 de clabLevel



 

The Silent Hills

firefox
Citar            
MensajeEscrito el 29 Jun 2007 07:31 pm
Creo que este tema tiene siglos por acá, pero, una pregunta, mis phps de clases, configuracion, etc tienen todos algunos sufijos que los otros php no usan, seria suficiente, para proteger mis clases incluyo mi archivo de configuracion a la base de datos, simplemente colocar un htaccess para bloquearlo o tambien debo sacarlos del directorio root ?

Por Duilio

Claber

2590 de clabLevel

25 tutoriales
1 articulo

Genero:Masculino   Premio_Secretos

Venezuela

firefox
Citar            
MensajeEscrito el 07 Ago 2007 05:29 am
esto es un PostIt que algún moderador simplemente elimine esos mensajes que con buena o mala voluntad no vienen al caso

en relacion a la inyección de sql lo que yo hago es que todo dato que pueda ingresar un usuario antes lo filtro con htmlEntities()

¿esta bien eso ?

por cierto ahora mismo voy a ocultar los errores de la conexion :P

Por Inyaka

Claber

3176 de clabLevel

9 tutoriales
2 articulos

Genero:Masculino   Desarrollador de GAIA

Programador y fotógrafo

firefox
Citar            
MensajeEscrito el 17 Ago 2008 08:51 pm

Inyaka escribió:


en relacion a la inyección de sql lo que yo hago es que todo dato que pueda ingresar un usuario antes lo filtro con htmlEntities()
¿esta bien eso ?

Eso es una muy buena opción, yo te recomiendo que solo uses htmlentities() cuando se trate de solo textos, y no requieras de los carácteres especiales, pero nunca si los datos procesados vienen de un editor wysiwyg, si usas addslashes() para filtrar los datos muy probablemente tengas que limpiarlos luego con la función stripslashes() para remover el carácter de escape nuevamente.

ah por cierto perdona la demora, estaba en un crucero interestelar, recién acabo de llegar.

----------------
Escuchando ahora: Fito Paez - [EMG] - Cerca de la revolución
posted with FoxyTunes

Por jhony192

791 de clabLevel

1 tutorial

Genero:Masculino  

Just Another Programmer

firefox
Citar            
MensajeEscrito el 17 Ago 2008 09:13 pm
solo fue un año y 10 dias terrestres ^^

Por Inyaka

Claber

3176 de clabLevel

9 tutoriales
2 articulos

Genero:Masculino   Desarrollador de GAIA

Programador y fotógrafo

firefox
Citar            
MensajeEscrito el 22 Ago 2008 10:14 pm
Creo que cabe destacar que privar imágenes de que otros accedan a ellas por .htaccess es algo realmente tedioso y molesto para nosotros como visitantes. Por eso, limitémonos a solo privar el acceso a librerías de inclusión :D

Por tomasdev

220 de clabLevel

1 tutorial

 

Argentina por ahora...

firefox
Citar            
MensajeEscrito el 17 Ene 2009 06:24 pm
Yo no tengo mucho conocimiento de php y mysql, pero yo lo hago de la siguiente forma, tengo una carpeta de clases en la cual tengo la clase mysql.php, la cual tiene todas las funciones:
function conectar que utiliza mysql_connect()
function consulta mysql_query()
y asi todas la funciones al momento que hago una consulta, lo hago con la instancia de la clase y si se quiere evitar la inyeccion de codigo sql pueden leer este articulo aqui esta explicado como evitar la inyeccion de una forma facil, me e basado de este articulo para mejorar mi web.
http://www.webtaller.com/construccion/lenguajes/php/lessons/creando_webs_modulares.php, espero les sirva

Por markant0n

25 de clabLevel



 

Comitan de Dominguez, Chiapas

msie
Citar            
MensajeEscrito el 23 Ago 2009 08:11 am
Hola veo que son todos unos eruditos en esto de las webs....xD

Bueno el caso es que segun veo la mayoria son tips de quien cuenta con servidor propio o quien es admin de uno.. en mi caso solo contraté un dominio y hosting, por lo que solo tengo acceso al plesk y mediante ftp con un user y pass, mi pregunta es.. que DEBO tener en cuenta para proteger mi pagina web si solo eh comprado un hosting?
Me gustaria poder proteger la carpeta donde tengo los sources (archivos .php, archivos .css, etc)
en cuanto a las DB pues esas las creo desde el plesk y en el directorio raiz de mi hosting (viendolo con ftp) no veo donde esta la base de datos xD asi que....¿Que precausiones debo tomar yo en mi caso?

Por Mike§ilver

83 de clabLevel



 

safari
Citar            
MensajeEscrito el 11 Sep 2009 09:51 pm
jhony192

primero muy bueno tu post lo otro es que lamento informarles que la encriptacion md5 no es como se cree 100% segura
demen N claves sifradas con md5 y les aseguro retornarles un 90% de las respuestas.


Saludos

Por locohuesos

27 de clabLevel



 

colombia

firefox
Citar            
MensajeEscrito el 11 Sep 2009 10:16 pm
Les dejo algo de mi saber

por medio de sangoogle pueden buscar mucha informacion de tu sitio web


1) robot.txt
User-agent: * /*********************aplica para todos los robots de los buscadores*************************/
Disallow: /un_directorio_protegido/
Disallow: /otro/
Disallow: /uno_mas/

2) crea directorios y protegelos por medio de cpanel o ssh con contraseña
3)ofusca las paginas como por ejemplo

conexio.php /***********************donde esta el acceso a la base de datos con usuario y claves*****************/

4) crea contraseñas seguras usando caracteres alpha numericos

5) no accedas a tu whm, cpanel, ssh, desde cafes internet o maquinas prestadas a menos que tengan un programa congelador y una vez termines la reinicias ( te pueden capturar tus claves y te jodes )
6)siempre cierra tu sesion de lo que estes usando en un cerrar de ojos te pueden copiar toda la base de datos desde el cpanel, si vas al baño bloquea windows con tu usuario.
7) si en tus desarrollos creas Upload filtra los archivos que pueden subir y te recomiendo que uses zip, rar, tar, ya que te pueden subir un archivo .php con algun exploid y te joden


bueno hay mas.............

por motivos de tiempo los dejo hasta aqui pero ya saben

SANGOOGLE

saludos desde Cali - Colombia

Por locohuesos

27 de clabLevel



 

colombia

firefox
Citar            
MensajeEscrito el 21 Sep 2009 05:53 am
locohuesos, estan muy interesantes tus aportes.

me gustaria saber mas acerca de seguridad estoy tomando unos cursos de php y mysql en el sena y quisiera hacer aplicaciones seguras.

gracias.


un post muy interesante jhony192

Por lightknight

2 de clabLevel



 

firefox
Citar            
MensajeEscrito el 12 Dic 2009 02:50 am
Hola gente, lamento informarles que están algo desactualizados en cuanto a seguridad.

1) Por más @ que se agregen, los errores están de todas maneras, y la vulnerabilidad está y a pesar de ser más complicada de efectuar, es vulnerable, y con todo esto me refiero a una inyeccion Blind SQL.

2) El metodo de protección mediante addslashes() es vulnerable utilizando una inyección Javascript, me lo comprobo un socio mio mientras realizabamos una auditoría al sitio taringa.net, luego le pregunto como lo realizó, y les comento como asegurarse sin utilizar addslashes()

Suerte

Por patolin

1 de clabLevel



 

firefox
Citar            
MensajeEscrito el 15 Dic 2009 11:21 pm
Una pregunta a patolin si dices que no es seguro el método que están proponiendo cual sería el:shock: má s seguro o no existe solo cambiar contraseñas a menudo ????????

Por ferbj

1 de clabLevel



 

msie8
Citar            
MensajeEscrito el 25 Ago 2011 12:44 pm
Haz un tema nuevo con tu pregunta. No olvides de poner el mensaje de error exacto (copia y pega el mensaje).

Por otro lado te diré que estás atrasado. PHP4 está obsoleto, mejor usa la versión 5 (5.3 es la última), a menos que tengas alguna necesidad especial de usar esa versión. La versión de Apache es vieja, la última es 2.2. también deberías cambiarla.

Sobre tu problema, como dije, abre un tema nuevo.

Por DriverOp

Claber

2510 de clabLevel



 

opera

 

Cristalab BabyBlue v4 + V4 © 2011 Cristalab
Powered by ClabEngines v4, HTML5, love and ponies.