Vulnerabilidad de una web

Iniciado por KinzVE, 5 Julio 2018, 06:56 AM

0 Miembros y 2 Visitantes están viendo este tema.

WHK

Según https://github.com/NamelessMC/Nameless/blob/master/core/queries/alerts.php puedo ver los mensajes y alertas de cualquier usuario unicamente indicando el id:

http://play.cubstar.net/core/queries/private_messages.php?uid=n

No hay restricción para saber que usuario está accediendo a que mensajes.

AXCESS

#11
Excelente trabajo.

Soy profano en el campo, pero su explicación es accesible y entendible, según lo ha ido planteando. Muy interesante y didáctico.

Bello trabajo; muy profesional y concienzudo.

Es una pena que el usuario no se haya proclamado, en irle agradeciendo: esfuerzo, inteligencia y tiempo.

Y por sobre todo... que no le cobra.

Por qué este tipo de auditorías, se cobran, y bien caras que son. Las que he visto a nivel empresarial, son bien costosas.

De todos modos, la buena obra por si sola se alaba.

He tomado nota de su compañía y persona.
No dudaría, ni por un instante, en recomendarlo. Su trabajo habla de su valía.
Qué mejores referencias.

Llegue a Ud. mis humildes reconocimientos y estima.

Buenos deseos.

[Modif]

Me he leído el post varias veces.

He aprendido (y entendido) sobre las vulnerabilidades que muestra y lo que recomienda como buenas prácticas y  solución.
Muy bueno.

KinzVE

Cita de: AXCESS en  8 Julio 2018, 21:38 PM

Es una pena que el usuario no se haya proclamado, en irle agradeciendo: esfuerzo, inteligencia y tiempo.

Y por sobre todo... que no le cobra.

Por qué este tipo de auditorias, se cobran, y bien caras que son. Las que he visto a nivel empresarial, son bien costosas.

Los últimos días he estado fuera de internet por lo cual no pude responder antes.
-----------
Por otro lado, he revisado todos los comentarios que me dejo el señor WHK y he entendido lo suficiente como para saber tapar algunos de los agujeros u optar por utilizar un software de foro mas seguro.

Agradezco de verdad la ayuda que me brindo y por sacar algo de su tiempo para ayudar a un usuarios mas de esta comunidad tan grande.
No podría esperar menos de un miembro de la administración de este foro que por lo visto también es parte de una empresa de seguridad informática.
Sin obviar el hecho de que si, por este tipo de ayuda tendrías que pagar cantidades altas de dinero así que una vez mas le agradezco por ayudarme a mi con este problema sin cobrarme absolutamente nada.

Muy buenas personas en este foro la verdad.
Por ultimo quería saber si alguien de acá recomendaría SMF para utilizarlo próximamente.
Y saber si podría utilizar esta información para ayudar obviamente a otras paginas que cuentan con este mismo tipo de foro, en caso de ser no, lo entendería.

Una vez mas, gracias por toda la ayuda de verdad.
Suerte en todo lo que hagas y con tu empresa de seguridad, saludos.

WHK

Hola, muchas gracias por los halagos, sin Dios no tendría el conocimiento y la sabiduría suficiente para poder haber ayudado.

Claramente las compañías tienen su dinero para pagar por estas cosas pero las personas mortales como nosotros nos cuesta mucho. La información es libre, yo he aprendido mucho de las personas y hasta el momento nadie me ha cobrado asi que tampoco tengo ningún motivo para cobrarle a cualquiera que necesite ayuda, es la esencia del foro, entre todos nos nutrimos de una u otra forma.

Con respecto a SMF te puedo comentar que también tienen bastantes malas prácticas en el desarrollo del software, no tanto como tu sistema pero no tiene comparación a phpbb, para mi phpbb es uno de los mejores sistemas para tener un foro junto a un par de proyectos en rails que he visto, pero en php para mi phpbb es lo mejor y a demás es gratis.

Dale un vistazo a este template para phpbb3: https://comboot.io/blog/beta/beta-3-1/

También tienen paquetes para traducir los textos al español y funcionan muy bien.

Lo que si te recomiendo mucho es que te mantengas siempre al día con las actualizaciones y nunca hagas modificaciones a nivel del núcleo del sistema, solamente a los templates y mods. A demás, intenta evitar el uso de Wordpress a menos que uses el servicio en la nube de wordpress.com.

Saludos.

WHK

Ya han solucionado algunos problemas: https://github.com/NamelessMC/Nameless/issues/1144 , para que actualices tu sistema.

Saludos.

r32

Buen trabajo WHK, le has encontrado varias vulnerabilidades a su sitio web.
Ahora le toca correjirlas  ;-) ;-) ;-)

Saludos.