Ahora recopilé un poco la opinión de personas:
Kanec0der:
xDarkston3x:es una mierda
xd
Ar3sw0rmed:Bueno en este tiempo que yo llevo dandole vuelta a lo que inseguridad informatica se refiere,
te puedo asegurar que un 70% de las webs tienen algun tipo de bug, ya se explotable o no, en un 50%
los errores son SQL, errores que para algunos es facil de explotar , muchos saben explotarlo pero
casi nadie sabe parcharlo
digo que casi nadie xq siempre hay una forma de que el error parchado .. sea saltado y vuelva a
provocar denuevo un SQLI
pero sin lugar a duda ... una de las experiencias que nunca olvidare .. es cuando me auto OWNIE
por practicar con mi misma web
Light3mis0r:pf
nunca terminaria
--- Se ha desconectado ---
Sn!per.S!tejoder me la pones difcil, mm yo digo que asi como hay un bien, abra un mal, simplemente son
bugs que se aprovechan
Gh0st.CReason for weak protection of scripts and software errors
Is not confined only but there are other errors
L1v3hConsidero que todos los sitios son inseguros, algunos en mayor medida y otros en menor.
nuestra diversion esta en poder joderlos un rato, pero también podemos ayudar a mejorar esta
seguridad reportando errores o programando sitios "seguros". es una práctica que te llena de
regocijo, aumenta notablemente tu ego y ocupa tu cabeza al 100%.
Spectrus (Después de esto se fue a la playa)q es una mierda
xD
Posiblemente estemos en acuerdo con muchos, pero este no es un post de ética ni nada parecido, así que no hablare sobre eso, podríamos evitar bastantes probabilidades de masacre si ocultamos bien el cPanel, así que ocultaremos correctamente el cPanel, de tal manera que ningun noob, solo un hacker de verdad pueda entrar, y eso es bueno, de hecho es lo mejor; caer a manos de un hacker de verdad. Como dije, necesitamos ocultar el cPanel querramos o no, las estrategias y/o tacticas que menciono aquí son nadamás ni nada menos que conocimientos de su servidor, es una porcion del resultado de mis experiencias con los paneles de control, que me gustan mucho, más que nada programarlos ya que presentan un bonito reto, aparte de protegerlos.pues que no se debe abusar
esta bien para practicar y tal
pero hay gente que se pasa
yo solo pongo un index
como aviso
pero na mas
Bruteforcing
Esta es la técnica mayormente usada por los noobs que intentan defacearnos, aparte de ser obsoleta es ineficiente, pero por si fuera poco, nos quitamos un enorme peso de encima al evitar esta técnica. No digo que sea tonta, simplemente que no es muy eficiente que digamos, la podríamos dejar como algo secundario. Para evitarlo necesitamos ponerle cierto nombre a nuestro panel de control que no sea lógico, evitemos ponerles nombres es ingles o español y trataremos de incluid un guión bajo a nuestra carpeta, así es como quedaría el mío (También podemos utilizar el lenguaje h4x0r) /_M0np4nn34ud3c0n7r0l3/, parece algo muy troll, pero es necesario. Y lógicamente no colocarlo en el menú raíz "/" <ya veremos porque>
Indexeo de Bots
Últimamente es lo que se utiliza muy amenudo, dorkear un poco para que nos despliegue dónde está e cPanel, sí es que Google lo ha indexeado. Esta técnica se puede evitar con facilidad, pero el remedio nos puede dar en la chota, así que trataremos de evitar que nos dé en la chota. Podremos usar el fichero robots.txt, pero revelaríamos la ubicación de nuestro cPanel, así que lo colocaremos lejos de raíz /xxx/yyy/_M0np4nn34ud3c0n7r0l3/, así que quedaría así el fichero robots.txt
Código: Seleccionar todo
User-agent: *
Disallow: /xxx/
Disallow: /otro_Fichero/
Disallow: /otro_fichero/
Conserven este fichero, porque más tarde haremos uso de él. Cabe mencionar que deberán de tener los suficientes conocimientos para implementar estos módulos y funciones del Apache, sinceramente no soy yo el que usa robots.txt, es problema del administrado del sistema, y no he trabajado con ese fichero a nivel práctico, ya luego lo usaré.
Contenido de...
Evitaremos cosas extrañas como estas: [Enlace externo eliminado para invitados] que nos puede costar la vida. Primero que nada trataremos de poner un archivo index en todas las carpetas y que haga redirección al index de la web, sí no les apetece podríamos especificar archivos index y especificar nuestro error 404. Esto se puede hacer en .htaccess, simplemente ponemos lo siguiente:
Código: Seleccionar todo
# Definición de los archivos
DirectoryIndex index.html index.php
# Definición de nuestro error 404 personalizado
ErrorDocument 404 /xxx.php
Web Crawling
Este es un método bastante difícil de evitar, lo que hace básicamente este es rastrear todos tus archivos, así dejándote en plena humillación y todos tus intentos por protegerlo, se habrán ido a la basura. Éste no es lo mismo que las técnicas convencionales, es algo diferente, aunque llegaría siendo convencional, da igual, trataremos de evitarlo a como de lugar. Por ello necesitaremos ACAP version +1, para incluirlo en nuestros ficheros robots. Con esto podremos evitar el crawling, si es posible que nunca se haga. Bueno, tendremos que hacer casi lo mismo que con el Disallow, sólo que de esta manera:
Código: Seleccionar todo
ACAP-crawler: *
ACAP-disallow-crawl: /xxx/
ACAP-disallow-crawl: /otro_Fichero/
ACAP-disallow-crawl: /
Punto final, alerta roja, consiguieron la ruta
Sí alguien realmente bueno en lo que hace consiguió acceso a la ruta dónde tenemos nuestro cPanel, aún no te pongas a rezar, queda una manera de evitarlo. Utilicemos los errores 404 falsos, y una restricción de IP desde .htaccess, ¿es eso posible o me fume una hierba bastante fuerte?, sí es posible, tarde un tiempo en poder hallar la manera de hacerlo, pero al final es bastante fácil.
Cómo sabemos un error 404 significa que se realizó una conexión al servidor, pero no se encontró el fichero requerido, muchas veces la gente cree que lo podrá hacer con unas bonitas lineas de PHP, pero eso no es lo correcto, si nos ponemos a analizar bien la regla que cubre a los errores 404 no se completa, como resultado, nos estaríamos auto-jodiendo, porque además de que es bypasseable esto alerta más al atacante. Muchos creen que pueden hacer esto:
Código: Seleccionar todo
<?php
$ip=$_SERVER['REMOTE_ADDR'];
if($ip!=="xxx.xxx.xx.x") {
header("HTTP/1.1 404 Not Found");
// o mucho peor, intentaran un
// header("Location: /404/index.php");
exit();
}
else {
....
Código: Seleccionar todo
# Definición de los archivos
DirectoryIndex index.html index.php
# Definición de nuestro error 404 personalizado
ErrorDocument 404 /xxx.php
#Empieza la definicion de nuestras reglas
RewriteEngine on
RewriteCond %{REMOTE_ADDR} !XXX\.XXX\.XX\.X
RewriteRule (.*) http://www.chambo.com/404/index.php
DUDAS Y PREGUNTAS FRECUENTES
Changos imbéciles que tienen dudas idiotas, cómo tu bonito lector... comprenderás
Changos imbéciles que tienen dudas idiotas, cómo tu bonito lector... comprenderás
1.- ¿Cómo me instalo Apache?
R= Vete a la pura ver.....
2.- ¿Qué son el fichero robots.txt?
R= Es un fichero dónde se indica que quieres eludir a los bots (Uuuuuuh)
3.- ¿Esto me garantiza 100% seguridad?
R= En sí sólo el 90%, porque un sistema nunca es seguro, avanzarán los tiempos y nuevas vulnerabilidades serán descubiertas hasta que tan, estaremos obsoletos y seremos blanco fácil de los noobs.
4.- ¿No es copy&paste?
R= Te aseguro que no es c&p, soy confiable y si lo fuera pondría fuente.
5.- ¿Cómo contrato tus servicios?
R= No me hago auto publicidad en un foro como estos, ingeniatelas, pregúntale a alguien de aqui, mandame un MP que se yo..
6.- ¿Es necesario protegerse contra el malware y conocimientos básicos sobre ello?
R= En lo absoluto, muchos empezamos desde el malware, yo desde redes, pero igual, me fui al malware en segundo lugar.
7.- ¿Usar troyanos es de lammers?
R= En realidad infectar a lo bruto es de lammers, pero no es de lammers usar troyanos, créeme y menos cuando tú mismo lo programaste, sería como una segunda arma.
¿No tienen más preguntas?, dejenlas aquí porfavor y lo responderé seriamente
