Foros del Web » Programando para Internet » PHP »

Hackeo de web

Estas en el tema de Hackeo de web en el foro de PHP en Foros del Web. Hola a todos/as Me he fijado que esta web http://www.programacion.com/php/foros/7/ ha sido hackeada o por lo menos eso pone un tio en sus post. No ...
  #1 (permalink)  
Antiguo 19/05/2004, 19:16
 
Fecha de Ingreso: noviembre-2003
Ubicación: Torrelodones
Mensajes: 134
Antigüedad: 14 años, 1 mes
Puntos: 0
Hackeo de web

Hola a todos/as

Me he fijado que esta web http://www.programacion.com/php/foros/7/ ha sido hackeada
o por lo menos eso pone un tio en sus post.
No soy un experto en PHP, lo que se es gracias a vosotros, pero
mi duda es: como se puede evitar este tipo de vulnerabilidades??
Que fallo en el codigo tiene para que hayan podido hackearle la web??

Un saludo
__________________
Conoce gente nueva, haz amigos, aplicaciones para moviles, juegos online,... Y todo gratis!!! :si: www.cuelate.com
  #2 (permalink)  
Antiguo 20/05/2004, 07:10
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Sin datos .. sin ver el código .. o que usó (tal vez PHP-Nuke o cosas así?) no se puede por donde "entraron" ..

Principalmente los "hakeos" desde PHP son ocasionados por:

1) No filtrar ni validar variables externas según el método esperado o rango/tipo de dato que se requiere.
2) Si usas Base de datos: "SQL inyection" (lo mismo que el punto 1 ..no filtrar variables externas)

En fin .. todo se resume a que se debe filtrar toda variable externa según el rango que requiera, tipo o método.

Tambien influye la configuración de PHP .. PHP es altamente configurable. Se puede dejar a PHP muyy permisivo o altamente restriccitvo ("safe mode"). Hay que encontrar un equilibrio entre lo que tu necesitas (para tus aplicaciones) y en que puede afectar la seguridad de tu própio servidor. Sin olvidar tu "programación segura" de tu código.

Pero, .. si metes en la "cocktelera" .. PHP mál configurado o demasiado permisivo y una pesima o nula validación de variables externas .. puedes tener ahí un coktel "molotovf" (o como se escriba xD).

Ejemplo ...

Si haces algo tipo:

nose.php?url=pagina.php
<?
include($url);
?>

sería altamente peligroso .. Si a eso le sumas que tienes tu archivo de configuración tipo: config.inc y haces:

nose.php?url=config.inc

ya tendriamos ahí los datos de configuración de tu aplicación donde tal vez guardas los datos de conexión a tu Base de datos: usuario/contraseña ...

Pero, .. si ubiera filtrado esa "$url" (variable) y sólo acepto el rango de páginas que quiera .. ya no podría hacer ese "include" malicioso.

¿Como solucionas todos esos problemas?:
1) NO confiando en NADA que venta externo a tu aplicación (por eso hay que -siempre- filtrar tus variables.
2) Conocer mas sobre como funciona PHP .. el sistema de archivos de un servidor .. SQL (para evitar el "SQL inyection" si trabajas con Base de datos) .. etc.

El supuesto "hacker" no es más que alguien que sabe algo más que tu y pasa por tus "validaciones" que pueda hacer.

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
  #3 (permalink)  
Antiguo 20/05/2004, 22:38
 
Fecha de Ingreso: diciembre-2003
Mensajes: 1.583
Antigüedad: 14 años
Puntos: 13
aqui esta el link con la respuesta y explicacion del "hackeador" :D

ahi explica cual es la vulnerabilidad d ela que sacó provecho. y aclarando ke no hackeo por maldad sino para alertar a los administradores d elas vulnerabilidades de su sitema de foros.

http://www.programacion.com/php/foros/7/msg/114377/
__________________
El conocimiento es libre: Movimiento por la Devolución
  #4 (permalink)  
Antiguo 20/05/2004, 22:45
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Ok, frijolerou ... Bien ..

Todo pasa por filtrar las variables externas .. hubiera usado htmlentities() y se hubiera acabado el problema (o strip_tags() que recomiendan también ..)

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.

Última edición por Cluster; 20/05/2004 a las 22:48
  #5 (permalink)  
Antiguo 21/05/2004, 05:40
 
Fecha de Ingreso: mayo-2004
Ubicación: españa
Mensajes: 45
Antigüedad: 13 años, 7 meses
Puntos: 0
Bueno. me gustaria decir q tengo un amigo al q denominan hacker. El dice que esto no es hackear, no se porque ni me interesa pero creo q se ha ofendido bastante
ciaooo
__________________
a por todassss
  #6 (permalink)  
Antiguo 21/05/2004, 07:18
 
Fecha de Ingreso: noviembre-2003
Ubicación: Torrelodones
Mensajes: 134
Antigüedad: 14 años, 1 mes
Puntos: 0
Pues lo siento a quien se haya sentido ofendido, no era mi
intencion. Yo solo queria saber como poder hacer un poco mas
seguras las webs ya que tampoco tengo mucha idea de
seguridad. Puse hackear porque no se como denominarlo,
yo creia que ya el mero hecho de conseguir las conseguir las claves
ajenas sin permiso ya es hackear. Lo dicho, no soy mu entendido
en la materia asi que lo siento si he ofendido a alguien.

Un saludo y gracias por la ayudita
__________________
Conoce gente nueva, haz amigos, aplicaciones para moviles, juegos online,... Y todo gratis!!! :si: www.cuelate.com
  #7 (permalink)  
Antiguo 21/05/2004, 07:28
Ex Colaborador
 
Fecha de Ingreso: junio-2002
Mensajes: 9.091
Antigüedad: 15 años, 5 meses
Puntos: 16
Hola,

El termino hacker se deberia usar para denominar al que mete mano en las tripas de un sistema para entenderlo, mejorarlo y demas. Linux esta creado por hackers. Ser hacker es tener (o estar en el camino de tener) conocientos tecnicos.

Los que se dedican a robar passwords, crear cracks y keygens, ... para hacer el mal, yo los llamaria crackers o piratas (por no poner nada mal sonante). Tampoco seria exacto.

Llamar hacker a alguien que entra en un sistema y comete actos ilegales es como llamar cerrajero a un caco que entra en tu casa y te la "limpia".

Como ya han dicho, se debe desconfiar de todo contenido que no venga del propio script: ni variables, ni cookies, ni ficheros, ni base de datos. Nada es seguro, todo es manipulable desde el exterior.

Saludos.

PD: Luego estan los lammers, que dicen que son crackers, pero que lo unico que hacen es usar aplicaciones creadas por los crackers para crackear.
__________________
Josemi

Aprendiz de mucho, maestro de poco.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 11:40.