Mensajes

Sí, captcha ya he usado. Pero es algo engorroso que los usuarios tengan que estar escribiendo letrillas. Me dijeron que con un input hidden se podría hacer, estuve haciendo pruebas y no consegui nada jeje.

Un saludo, gracias

Hola buenas!

Bueno estaba haciendo un login para mi web con php, mysql.
Bueno por ejemplo:

Código (html4strict) [Seleccionar] Expandir


<form action="/index.php" method="post">
<p>
  <input type="text" name="usuario" value="Nombre usuario" onClick="this.value=''">
    </p>
<p><br>
      <input type="password" name="clave" value="Password" onClick="this.value=''">
  <br>
  <br>
      <input type="submit" name="enviar" value="Enviar">
 
    </p>
</form>

compruebo que si $_POST['enviar'] tiene valor, cogo $_POST['usuario'] y $_POST['clave'], envio la consulta a la db, si me devuelve algun resultado, creo una session, sino muestro el típico error.

Entonces cualquier persona malintencionada que vería el login de mi web, podría ver los nombres de los campos que uso para enviar el usuario, password (en el fuente html), el error que muestra al no hacer login, hacerse un pequeño script en perl o en lo que sea y enviar valores mediante peticiones POST a los campos hasta obtener usuario, password...

Soluciones??
pues sí, se podría usar captcha, una tabla en la db que guarde los logins fallidos por ip, si hace 3 o los que sea bloquee la ip y tal...

Alguien sabe hacerlo de otra forma y que sea seguro?

Un saludo y gracias de antemano...

hola a todos
estoy creando un sistema de login para mi web pero veo que me estoy liando y nose de que forma hacerlo seguro, esto es lo que llevo hecho:

esta es la tabla SQL:

Código (sql) [Seleccionar] Expandir

CREATE TABLE users(
id INT NOT NULL AUTO_INCREMENT,
PRIMARY KEY(id),
username VARCHAR(30) NOT NULL,
password VARCHAR(20) NOT NULL);

-- USERS --
INSERT INTO `users` VALUES (1, 'admin', '827ccb0eea8a706c4c34a16891f84e7b');


Aquí el code php (login.php):

Código (php) [Seleccionar] Expandir


<?php

$dbhost = 'localhost';
$dbuser = 'root';
$dbpass = '12345';
$db  = 'web';

$conectar = mysql_connect($dbhost,$dbuser,$dbpass); 
mysql_select_db($db,$conectar);

if (isset($_SESSION['admin_username'])){
echo "Ya estás autentificado";
        header("Location: admin.php");
}

if ($_POST['username']) {
$username = $_POST['username'];
$password = $_POST['password'];


if ($password==NULL) {
echo "La password no fue enviada";
}

else{
$query = mysql_query("SELECT username,password FROM users WHERE username = '$username'") or die(mysql_error());
$data = mysql_fetch_array($query);
if($data['password'] != md5($password)) {
echo "Login incorrecto";
}

$query = mysql_query("SELECT username,password FROM users WHERE username = '$username'") or die(mysql_error());
$row = mysql_fetch_array($query);
$_SESSION["admin_username"] = $row['username'];
echo "Has sido logueado correctamente ".$_SESSION['admin_username']." y puedes acceder al admin.php.";
}
}
?>


<form action='login.php' method='POST'>
<table style='border:1px solid #000000;'>
<tr>
<td align='right'>
Nombre de usuario: <input type='text' size='15' maxlength='25' name='username'>
</td>
</tr>
<tr>
<td align='right'>
Password: <input type='password' size='15' maxlength='25' name='password'>
</td>
</tr>
<tr>
<td align='center'>
<input type="submit" value="Login">
</td>
</tr>
<tr>
<td align='center'>
</td>
</tr>
</table>
</form>

Creo que me estoy complicando bastante para lo que quiero hacer, tambien hay un par de SQL Injections por ahí... ¿Como lo podría mejorar? ¿Qué cambiarian del código? ¿Cómo lo puedo hacer más seguro?

cheers!

Hola buenas.

¿De que manera podría parchear un Remote File Disclosure?
Ejemplo código:

Código (php) [Seleccionar] Expandir

<?php

$filename = $_GET['filename'];
$fp = fopen($filename, 'r');
$doc = fread($fp, filesize($file));
echo $doc;

?>

Con este tipo de fallo el atacante podría leer cualquier archivo de texto plano:
http://localhost/archivovulnerable.php?filename=/etc/group

¿Qué formas habría de solucionar este fallo?

Salu2

Alguien sabe más o menos cuanto tardan en enviarte lo comprado en la tienda de seguridadwireless por el envio gratuito?

saludos.

[- USB Wireless 54Mbps 802.11g Chipset Zydas + Antena RP-SMA (Modo monitor solo en Linux)]

Listo, comprado.

• 
  - USB Wireless 54Mbps 802.11g Chipset Zydas + Antena RP-SMA (Modo monitor solo en Linux)

• - Antena Interior Omnidireccional 9dbi

39.62€, espero no arrepentirme de la compra.

Saludos 

http://seguridadwireless.comprawifi.com/index.php?act=viewProd&productId=56
Esta antena si que funcionará con la tarjeta, no?
También tendría que comprar algun cable para sacar la antena por la ventana de vez en cuando... 

Salu2

[37.58]

Hombre esa vale 50,50€, he visto esta:
http://www.ciudadwireless.com/product_info.php?products_id=957
Si la añades una antena de 9 dBi sale por 22.58+15=37.58

Pero entre el IVA, el transporte y tal te sale por 51€ =/

Saludos.

Tarjeta me recomendais alguna mejor y que no pase de 40€?
Saludos.

y la antena de 9 dBi por cuanto me podría salir?
Con una antena 9 dBi omnidireccional cuanto más o menos de distancia podría coger?

Saludos y gracias por responder.