Mensajes

Estaba plantando los árboles para navidad y le jodieron la sorpresa...

Aunque si hay quien los lea, al gran publico lector poco le interesa estos manuales sobre como timar, robar, o estafar al prójimo...



Saludos.

No tiene nada que ver con eso jaja.

Las empresas que salen en hackerone te pagan por eso

As of July 2018, HackerOne's network consisted of approximately 200,000 researchers, had resolved 72,000 vulnerabilities across over 1,000 customer programs, and had paid $31 million in bounties.

Depende del bug que reportes. Yo reporté varios y nunca me dieron nada. Por los que se paga suele ser solo por los de seguridad. Yo por ejemplo encontré muchos bugs en juegos con los cuales me ponía en el leaderboard pero como no comprometían la seguridad de los usuarios de ninguna forma...

Son distintos. Los de Google a mi personalmente no me parecen seguros. La ventaja que tienen es que puedes trackear y detectar bots o usuarios mal intencionados que vienen de otros sitios y tú no tienes esa capacidad. Pero si targetean tu sitio, los captchas de google siempre ponen las mismas imágenes. Pasos de peatones, coches, semáforos, autobuses, escaparates... Los bots bien programados grabando movimientos y pulsaciones se los saltan. Si haces un captcha a mano sabiedo como funciona el reconocimiento óptico puedes generar captchas que no se puedan saltar. Solo tienes que validar en el server para que solo exista una validación posible por captcha y generar uno nuevo por cada intento. Yo me aprovecho del contexto de las oraciones para usar carácteres visualmente ambiguos. Por ejemplo si escribo "HoIa" en un captcha, el bot lo interpreta como hoia en vez de hola si lo que mira son los caracteres. A esto le sumas poner letras que no tengan nada que ver por encima y lineas del mismo color que las letras, letras desordenadas, etc. A parte fuerzas a que necesiten programar el bot específicamente para tu sitio y no que cada scanner por ahí suelto que se pueda saltar los captchas de google se salte también tu sitio.
También evitas que se carge una librería pesada en tu sitio, se haga track a los usuarios de tu sitio, etc.
El captcha puede quedar horrible estéticamente en tu sitio, etc.

Todo tienes sus pros y contras. Yo prefiero implementarlo yo, porque se lo que estoy haciendo en pos de usar una herramienta externa que no sè al 100% lo que hace. Y más cando trato con datos de terceros. En el caso de Google no creo que tengas problemas, pero por normal general estás metiendo código en tu sitio que en cualquier momento puede cambiar sus condiciones de uso y perjudicarte.

[Mod:]

Código (html5) [Seleccionar] Expandir

<form action='' method='POST' id="loginForm">
   <input type='text' id="loginFormUser" name='user' placeholder='Usuario'>
   <input type='password' name='pass' id="loginFormPassword" placeholder='Contraseña'>
   <input type='hidden' name='loginToken' id='loginToken' value=''>
   <button type='submit'>Entrar</button>
</form>

Como ves Drvy usa .value para acceder al valor contenido en cada campo. Puedes usar .value para acceder a lo que el usuario pone en usuario, contraseña o lo que sea.

A parte de pillar el form por id puedes de otras maneras:

https://www.w3schools.com/js/js_htmldom_elements.asp

https://www.w3schools.com/js/tryit.asp?filename=tryjs_doc_forms

Esta lib está guay para crear captchas. Tienes un ejemplo en el sitio que puedes probar.
https://www.w3schools.in/php-script/captcha/

Pd: El error que te sale debe estar relacionado con la carga de la librería. Asegurate de que la librería está cargada/lista antes de utilizar sus funciones.

Imagino que también debes conseguir la key/clave para tu sitio. Por la Documentación de google te tiene que venir como pedir tdas las claves que necesites 100%.

On the reCAPTCHA page, click "Use reCAPTCHA ON YOUR SITE". Type your domain you are using the reCAPTCHA for. Select the "Enable this key on all domains (global key)" so you can use the same reCAPTCHA key for all your sites. Google will have 2 keys generated for your site, a public and a private key.

Sin buscar mucho me sale esto. Te traduzco:

En la pagina de reCaptcha haz click en "Utiliza reCaptcha en tu sitio". Escribe el dominio en el cual vas a usar reCaptcha. Selecciona "utilizar esta clave en todos los dominios(clave pública) Así podrás usar la misma clave para todos tus dominios. Google te va a generar 2 claves para tu sitio. Una privada y una pública.

A parte de esto, en el ejemplo de Drvy está guardando un archivo
al que llama recaptcha.js y lo incluye poniendo su ruta en el tag script source. Asegurate de que lo que abres en el navegador es la página principal desde la cual se llama al script. Y no abriendo directamente el script. O simplemente incluye todo el código en la página principal y no hagas el script src para llamar al recaptcha.js

Sin mirar mucho veo que hay guías de todo el proceso de incluir recaptcha escritas en español y salen con una simple búsqueda en Google.

Como te dice Drvy deberías tener como prioridad número 1 entender inglés. Toda la doc official y un montón de recursos y libros están escritos en inglés. Las propias "keywords" de los lenguajes son en inglés. Y muchos códigos opensource están en inglés también.
En la web de duolinguo tienes cursos de inglés interactivos. Son casi como juegos, divertidos útiles y didácticos. Héchale un ojo, se puede aprender desde 0 ahí. A parte ver vídeos en youtube y buscar palabras una por una (no frases) en el google translate te ayuda a aprender las palabras más frecuentes. Llega un punto que simplemente por contexto la palabra que no conzcas aprendes su significado sin buscar nada, algunas palabras no tienen traducción a español y las sacas así.


Mod: Obligatorio el uso de etiquetas GeSHi.

Libros:
-The Art of Software Security Assessment Identifying and Preventing Software Vulnerabilities.

-MySQL Cookbook Solutions for Database Developers and Administrators.

https://leanpub.com/ltr101-breaking-into-infosec

-HandsOn Bug Hunting for Penetration Testers.

-Security for Web Developers Using javascript, HTML, and CSS.

-Haking Workshops Web Application Hacking Advanced SQL Injection and Data Store Attacks.

-Web for Pentester By Louis Nyffenegger.

-Java Platform, Security Developer's Guide.

-Cryptography and Network Security Principles and Practices.

-Introduction to Modern Cryptography.

-Anonymity, Hacking and Cloud Computing Forensic Challenges.

-Computer Hacking, Security Testing, Penetration Testing and Basic Security.

-Google Hacking for Penetration Testers.

-Gray Hat Hacking.

-Hacking The Art of Exploitation.

-Hacking The Art of Exploitation second edition.

-Mastering Kali Linux for Advanced Penetration Testing.

-Metasploit Penetration Testing Cookbook second edition.

-The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws

-Penetration Testing a hands on introduction to hacking.

Bug Bounty Hunting Essentials: Quick-paced Guide to Help White-hat Hackers Get Through Bug Bounty Programs

-The Shellcoders Handbook. second edition.

-Wireshark Network Analysis.

- https://leanpub.com/web-hacking-101

https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents




Herramientas:

http://netcat.sourceforge.net/

https://www.wireshark.org/docs/

https://fwhibbit.es/burp-suite-i-la-navaja-suiza-del-pentester

https://www.metasploit.com/

https://nmap.org/

https://github.com/subfinder/subfinder

http://blog.ironwasp.org/

https://github.com/guelfoweb/knock

https://github.com/OWASP/Amass

https://github.com/aboul3la/Sublist3r

https://github.com/michenriksen/aquatone

https://github.com/techgaun/github-dorks

https://github.com/techgaun/github-dorks/blob/master/github-dorks.txt

Links:
https://www.cvedetails.com

http://elladodelmal.blogspot.com/2009/03/serialized-sql-injection-parte-i-de-vi.html

https://www.attackflow.com/KnowledgeBase/

https://brutelogic.com.br/

https://github.com/s0md3v/MyPapers/blob/master/Bypassing-XSS-detection-mechanisms/README.md

https://www.pentestpartners.com/security-blog/lan-surfing-how-to-use-javascript-to-execute-arbitrary-code-on-routers/

https://44con.com/44con-training/code-injections-from-beginner-to-advanced-for-defenders-and-attackers/

https://www.upguard.com/articles/top-20-owasp-vulnerabilities-and-how-to-fix-them?hs_amp=true

http://www.elladodelmal.com/2010/02/robotstxt-sitemapxml.html


https://portswigger.net/web-security/xxe

https://www.netsparker.com/blog/web-security/crlf-http-header




Laboratorios, wargames y similares:
- https://xss-game.appspot.com

- https://xss-quiz.int21h.jp/

- warzone.elhacker.net

- hackthissite



Sitios para bug hunting:

https://www.bugcrowd.com/

https://www.hackerone.com/

https://www.zerocopter.com/

https://www.synack.com/

https://cobalt.io/

https://www.yeswehack.com/

https://www.intigriti.com/

https://www.vulnerability-lab.com/

Buscando la responsible disclosure policy de un sitio.



https://bugbountyguide.com/hunters/proof-of-concepts.html

Si buscas algo como: add google captcha to your site, seguro que te salen muchos resultados útiles.

Puedes crear tu propio captcha. No es difícil hacer algo más seguro, rápido y que respete la privacidad de tus usuarios que el captcha de Google. A parte puedes añadir directamente en el captcha otras funcionalidades. Por ejemplo hay varios "copia y pega" de los capchas de Google por ahí que hacen minado de criptomonedas.

Para que salga el captcha al realizar ciertas acciones solo tienes que hacer un redirect a una página con el captcha, cargarlo desde PHP o directamente lo cargas con un href # en html sin cambiar la página por ejemplo al completar un formulario con carácteres no admitidos. Lo mismo del lado del servidor.

Puedes generar y devolver el captcha en la respuesta si no se cumple cualquiera de las condiciones de tu whitelist.

Para que sea permanente el captcha en el sitio usa cookies, ip, y demás identificadores que quieras.

Para diseñar el captcha puedes crear imágenes con código y algoritmos pseudoaleatorios, hacer preguntas sencillas de una lista bastante larga, etc.

Si buscas algo estético, hay captchas muy chulos de arrastrar y encajar figuras, pero tal y como funciona la inteligencia artificial, los bots y el reconocimiento óptico es muy poco seguro.

Piensa algo acorde a tu sitio.

Pasa el modelo de la BIOS y de la netbook.

La gente menos inteligente y más irresponsable es más propensa a tener hijos. Es cuestión de tiempo.

Hay muchas formas distintas de añadir un archivo externo. Te recomiendo el tag script src porque a parte de añadir tus archivos .js en local, también puedes añadir archivos externos como por librerías. https://www.w3schools.com/tags/att_script_src.asp
A parte de los mencionados aquí deberías añadir checksums para asegurar que el contenido del script no ha sido modificado en el servidor que aloja la librería o el archivo externo javascript por ejemplo en un ataque MITM, un proxy, etc.

En este enlace tienes explicados los recursos disponibles para asegurarte de que tus propios archivos alojados en un servidor permanecen íntegros
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity