Mensajes

Hola a todos 

Las paginas web hechas con CMSs, sobre todo las hechas con Wordpress, tienen fama de ser hackeables. EN primer lugar porque el CMS no restringe el acceso al codigo que lo compone (cualquiera puede descargarlo gratuitamente y acceder a su codigo, buscar errores, estudiarlo, etc). En segundo lugar porque son tan famosos que resultan un blanco tentador para muchos. Y en tercer lugar porque, mientras mas plantillas y plugins instalen los dueños de estos CMSs, mas accesos de hackeo abren en su pagina (llamemosles puertas, si quieren), pues, estas aplicaciones externas tienen codigo de diferentes personas, que uno ni sabe si es seguro o si esta compuesto correctamente.

Dicho todo esto, pregunto a los expertos en hacking ¿que tan cierto es que una pagina hecha con Wordpress u otro CMS es muy hackeable?
¿Si se lo propusieran ustedes, podrian hackear una pagina con Wordpress ahora mismo?
¿Una pagina que te brinda su codigo de composicion, es mas facil hackear que una que no lo hace?

Necesito que personas que sean hackers me aclaren esto de una vez por favor, porque la fama de Worpress es conocida, y los casos comunes de gente hackeada usando este CMS tambien; sin embargo, hay gente que dice que no es cierto todo esto , que es un mito...que hackean a los que cometen errores de seguridad, pero si no los cometes no te pasa nada.... ¿entonces, quien tiene la razon?

[este sitio no es seguro. alguien intenta robar tu clave.]

hola

Debido a que mi internet esta un poco lento (y sin motivo, dado que tengo un buen plan) decidi cambiarle la clave a mi wifi. La primer señal de alerta que encontre fue que , al poner la ip que me dio movistar para hacer sesion e ingresar a mi panel (donde se cambia la clave del wi), me aparece un mensaje en el navegador que dice algo asi como: este sitio no es seguro. alguien intenta robar tu clave. Llame a Movistar para preguntarle por esto y la persona que me atendio me dijo que no me preocupara por eso, que es normal, que no le haga caso, que de click en la opcion "entrar de todas formas". Asi lo hice. Me aparecio entonces un formulario de sesion. Me loguee con el usuario y la clave que me dio la persona de Movistar. Le dije que me parecia inseguro loguearme con un usuario y clave predeterminados, le pregunte que si podia cambiar la clave y el usuario. Me dijo que si se podia pero que es mejor no hacer esto porque se han dado casos de usuarios que olvidan su user y pass y luego no se puede recuperar. Que es mejor que ellos (los de movistar) sepan la clave y el usuario, que no me preocupara, que nadie puede hackear movistar. Luego, adentro de la cuenta, ya pude cambiar la pasword de mi wifi.
Hay dos cosas que me preocupan:
1. El mensaje que me manda el navegador cuando entro a la ip de movistar.
2. Que mi usuario y clave de inicio de sesion sean los que vienen por defecto. Porque pienso ¿de que me sirve cambiar la clave a mi wifi 1 vez al mes, si es que la clave de ingreso a mi panel (donde cambo la clave de mi wifi) siempre va a ser igual? O sea, por logica, si yo quiero crackear la clave de wifi de alguien, antes deberia pasar por la clave que permite al acceso al panel ¿no? y una vez que la tenga, no me va importar cuantas veces el usuario cambie su clave de wifi porque yo ya tengo la clave de inicio de sesion, y esta nunca cambia.

¿estoy en lo correcto?
¿y que se puede hacer ?
¿que medidas toman ustedes para proteger su internet  y no dejar que un ratero sinverguenza vago de m# se lo lleve gratis?

no hagas doble y triple post... responde todo en un solo post para mantener el orden

bueno es que nunca encontré la opción de multicita

sabrás la version del archivo?

a partir de cierta version zip cambió su algoritmo debil (basicamente una comprobación de contraseña nada mas) a usar AES-256, en este ultimo caso hay poco que hacer, recomendaria recopilar una serie de terminos que puedan ser la contraseña o parte de ella y luego usar algun programa para automatizar los intentos y las mezclas

y no XD estas en la sección equivocada "hacking wireless" es mas sobre redes wifi, bluetooth, etc... pero ya movi el tema

no sé la versión

recuerdo que hace años cuando le puse la clave me dijeron que eso no eran tan seguro y que cualquiera con conocimientos podria burlar la seguridad, que mejor era hacerlo de otra forma...pero ahora resulta que es casi imposible descifrarla, o sea que si estaba seguro al final

bueno gracias por acomodarlo

Yo solo veo 2 caminos. Programa de fuerza bruta que pruebe clave por clave. O hipnosis.

Wireless significa sin cables. Va dirigido a "wi-fi".

jeje deberias ser comico  

voy a averiguar sobre el programa de fuerza pero la otra vez lo hice asi, instale uno en linux y no me funciono la clave que arrojó, y se demoró un monton

Wireless significa "sin cable" como lo es la señal WiFi... entonces ya sabes que esto no va acá... mira en este link a ver si te sirve de algo: https://es.ccm.net/forum/affich-66469-quitar-contrasena-de-archivos-comprimido



Saludos.

No, ese truco no sirve, ya lo intenté.. COpia archivos con cero bits

Hola.

Antes que todo quiero decir que si el tema esta en la sección equivocada lo muevan y disculpen. No se nada de hack, ni siquiera se que es "wireless" pero algo me dice que estoy es la sección adecuada:

Tengo un zip comprimido con contraseña la que olvidé hace años. Quisiera poder descomprimirlo. Hace tiempo intente con varios programas y nunca funcionó. Quiza pienso se pueda hacer sin programas. Tengo sistema GNU-Linux y una distribución derivada de Debian. Intenté quitandole todos los permisos al zip via consola, pero aun asi no se puede 

Cabe mencionar que los trucos de winrar, tipo: cambiar la contraseña predeterminada o copiar el archivo doble que se hace mientras te pide la contraseña, no me funcionan (lo intenté en windows).

¿Porque no checas el error que tienes en el prepare? Ese error que tienes es simplemente porque $MARIA-prepare() te regreso falso, que significa que hay un error con tu enunciado ahí.

Para eso tienes que usar mysqli::error:

Código (php) [Seleccionar] Expandir


if($PRE === false) throw new Exception($MARIA->error);

si es seguro, esto sirve para filtrar básicamente cualquier ataque de inyección que son los mas comunes, los parámetros afiliados son tratados como data y no van a ser mal interpretados y ejecutados maliciosamente...

Hola otra vez.

Estoy un poco confundido con 'prepare' al momento de retornar los datos de la DB a mi web.
Primero  ¿es necesario seguir usando Prepare para retornar los datos? Pregunto porque , en el caso anterior me parecia necesario porque debia cuidar los valores que entraban de afuera a mi base de datos, pero en el caso de que quiera "sacar" los valores de mi db no me parece que deba tomar medidas (o sea el proceso es interno, no a la vista de terceros). Yo sabía hacer esto con QUERY() y MSQLI_FETCH_ASSOC() pero ahora PREPARE() me confunde y no sé como llamar a los datos, me está dando error, estoy haciendo algo mal. Si me pudieran poner un ejemplo de como retornar los datos con prepare por favor, con la siguiente sentencia simple de ejemplo.. . SELECT nombre FROM datos

si es seguro, esto sirve para filtrar básicamente cualquier ataque de inyección que son los mas comunes, los parámetros afiliados son tratados como data y no van a ser mal interpretados y ejecutados maliciosamente...

ok gracias

y gracias tambien al otro usuario

ese codigo no era para que funcionara, era para que consiguieras el error, ese codigo lo que hace es no pasar la consulta erronea ciegamente, sino verifica si fue valida...

ya lo sé pero digo no arrojó ningún error.. lo mismo que no ponerlo

si ayuda, no es super seguro, pero sobre todo ayuda a limpiar los errores dejados atrás por ti como humano

si, nada es 100% seguro, pero yo me refiero a si con eso ya puedo subir datos , digamos teniendo la idea de que ya lo estoy haciendo de una forma medianamente segura.
Porque por ejemplo si yo estuviera subiendo directamente con QUERY() ustedes me dirian que use las sentencias preparadas, como diciendo "tu codigo es inseguro"...por eso pregunto, ahora, con este codigo (prepare), ya es algo seguro, quiza no al 100%, pero al menos lo basico o medio?

¿Porque no checas el error que tienes en el prepare? Ese error que tienes es simplemente porque $MARIA-prepare() te regreso falso, que significa que hay un error con tu enunciado ahí.

Para eso tienes que usar mysqli::error:

Código (php) [Seleccionar] Expandir


if($PRE === false) throw new Exception($MARIA->error);

No funcionó con ese código que me pusiste, pero ya me di cuenta donde está el error al revisar minusiozamente el codigo y despavilar.

FUe un error estúpido de mi parte,  en el INSERT estaba escrito mal el nombre de la tabla, el cual era DATOS, en lugar de EMPLOYER (employer es la base de datos, me confundí). Segundo: En bind_param('ssisfsis' ) No existe el argumento F (de float) sino D (de double). A pesar de que el campo en mi base de datos es de tipo float y no double, no me genera error. Corrigiendo ambas cosas, funcionó.

Disculpen las molestias.

Pregunta aparte, para no abrir otra tema (si no tendré que hacerlo):
¿con estas sentencias preparadas ya no necesito preocuparme por temas de seguridad?
Es decir ¿asi puedo mandar los datos de manera medianamente segura? ¿o me falta algo?
Claro que antes de hacer el 'prepare' debo impedir el ingreso de datos incorrectos, con las expresiones regulares de java script y luego de php. Eso lo tengo claro.

[Fatal error: Uncaught Error: Call to a member function bind_param() on bool in /opt/lampp/htdocs/php y sql/practice/zend.php:17 Stack trace: #0 {main} thrown in /opt/lampp/htdocs/php y sql/practice/zend.php on line 17]

Hola a todos 

Php me arroja el siguiente error: Fatal error: Uncaught Error: Call to a member function bind_param() on bool in /opt/lampp/htdocs/php y sql/practice/zend.php:17 Stack trace: #0 {main} thrown in /opt/lampp/htdocs/php y sql/practice/zend.php on line 17

Lo que se me ocurre es que pueda estar exigiendo que incluya el campo 'id' (y su valor) en la consulta del PREPARE, pero para mi hacer eso no tiene sentido porque se supone que los valores del campo 'id' se generan solos automaticamente.
Dejo mi código, y más abajo mi base de datos:

Código [Seleccionar] Expandir


<?php
$MARIA = new mysqli("localhost", "root", "", "EMPLOYER");

if ( $MARIA->connect_error ) {
    echo "Falló la conexión!";
} else {
    $PRE = $MARIA->prepare( "INSERT INTO EMPLOYER (nombre, sexo, edad, puesto, sueldo, correo, movil, casa) VALUES (?, ?, ?, ?, ?, ?, ?, ?)" );
    $PRE->bind_param('ssisfsis', $nombre, $sexo, $edad, $puesto, $sueldo, $correo, $movil, $casa);

    $nombre = 'Gian'; 
    $sexo = 'Hombre';
    $edad = 25;
    $puesto = 'Marketing';
    $sueldo = 3.500;
    $correo = 'gian@mark.es';
    $movil = 989543723;
    $casa = 'Av. Los Sauces';

    $PRE->execute();

    echo "Los datos fueron enviados!";

    $MARIA->close();
}
?>