¡Advertencia!
Este tema no ha tenido respuestas en más de un mes. Recuerda que si deseas añadir una nueva debes cumplir con las normas de la web.
otra cosa es que un ataque Ddos no lo paras facilmente y mucho menos con un captcha, un ataque ddos se para bloqueando las ips del SERVIDOR ninguna solucion que se implemente en php o algun otro lenguaje web funcionaria.
un ataque ddos consiste en sobrecargar el servidor con peticiones y asi los usuarios legitimos no pueden accesar la web.
un ataque ddos consiste en sobrecargar el servidor con peticiones y asi los usuarios legitimos no pueden accesar la web.
otra cosa es que un ataque Ddos no lo paras facilmente y mucho menos con un captcha, un ataque ddos se para bloqueando las ips del SERVIDOR ninguna solucion que se implemente en php o algun otro lenguaje web funcionaria.
un ataque ddos consiste en sobrecargar el servidor con peticiones y asi los usuarios legitimos no pueden accesar la web.
Yo me planteé cortar el acceso a la web mandando peticiones a un servidor apache xD, pero bueno, en sí no funcionó, así que...
Yo simplemente considero, si no puedes, apechugar y esperar a que el servidor se restaure, o si eres el propietario, cerrar apache y así no habra servidor que procese las conexiones, pero al final va a hacer que se caiga, asín que :l...
Y lo del captcha yo creo que es para los bots esos que atacan webs registrandose y publicando paridas, en los foros creo que sobretodo.
Bueno, pues eso xD.
¡Soy el fantasma de Habtium! Me dedico a reemplazar aquellas cuentas que han sido eliminadas. 👻
Yo me planteé cortar el acceso a la web mandando peticiones a un servidor apache xD, pero bueno, en sí no funcionó, así que...
Yo simplemente considero, si no puedes, apechugar y esperar a que el servidor se restaure, o si eres el propietario, cerrar apache y así no habra servidor que procese las conexiones, pero al final va a hacer que se caiga, asín que :l...
Y lo del captcha yo creo que es para los bots esos que atacan webs registrandose y publicando paridas, en los foros creo que sobretodo.
Bueno, pues eso xD.
para evitar que algunos bots se registren si funcionan los captcha pero no para evitar un ataque ddos.
Si te spamean bots pueden generar un ataque d2 si son muchos...
para que los bots spammers te tumbren el servidor debe de ser uno MUY es mas DEMASIADO malo. y sigo diciendo que un captcha es solucion para bot spammers no para detener un ataque ddos.
pues aunque los bots no puedan registrarse igual estan hay las conexiones...
pues aunque los bots no puedan registrarse igual estan hay las conexiones...
Vamos a ver me he registrado para comentar esto, este post es mio, este post lo postee en elhacker, pero luego le
hice una modificación para que se corrigieran los fallos, estos son los fallos que aparecen en el tutorial:
Evitar ataque SQL Injection:
Este error es el más común, es uno de los mas basicos pero unos de los mas
utilizados, yo he encontrado hasta webs del gobierno con este simple fallo.
El fallo de este codigo es el "*" que por ese pego alguien puede aplastar tu web.
La solución sería cambiarlo por:
Si quitamos la * y lo sustimos por un nombre mas concreto el bug quedaría corregido.
Si el Asterisco lo muestras a través de un Array y usas los campos no hay problema...
el problema radíca en la petición cuando hay un GET o POST...
y... si este get es un nombre de usuario lo podemos filtrar
y en el caso de que este sea un id de noticia tipo noticia.php?id=1234
podemos usar
Citar
Evitar ataque Full Path Discloure:
Explotar esta vulnerabilidad no significa que podamos hacer grandes cosas, simplemente nos entregará información que podría ser utilizada para lo que uno estime conveniente.
Para corregirlo simplemente debemos agregar, a cada llamada de la función, la siguiente validación:
En eso también hay error ya que el full path disclosure lo podemos encontrar de distintas maneras, mas bien, creo que la mejor manera de no solucionar pero si evitar que la gente vea los path disclosures es usar
Un saludo y editen el post principal, no soy Skillman, soy SkillmaX
hice una modificación para que se corrigieran los fallos, estos son los fallos que aparecen en el tutorial:
Evitar ataque SQL Injection:
Este error es el más común, es uno de los mas basicos pero unos de los mas
utilizados, yo he encontrado hasta webs del gobierno con este simple fallo.
El fallo es sencillisimo:
Código:
SELECT * FROM
El fallo de este codigo es el "*" que por ese pego alguien puede aplastar tu web.
La solución sería cambiarlo por:
Código:
SELECT loquesea FROMSi quitamos la * y lo sustimos por un nombre mas concreto el bug quedaría corregido.
Si el Asterisco lo muestras a través de un Array y usas los campos no hay problema...
$my=mysql_query("select * from prueba",$conect);
while($row = mysql_fetch_array($my)) {el problema radíca en la petición cuando hay un GET o POST...
y... si este get es un nombre de usuario lo podemos filtrar
$query =mysql_query("select * form usuarios where name = '".mysql_real_escape_string($_GET['user']).")y en el caso de que este sea un id de noticia tipo noticia.php?id=1234
podemos usar
$id = (int)$_GET['id'];
$query = mysql_query( "SELECT * FROM noticias WHERE id = '$id'");
Citar
Evitar ataque Full Path Discloure:
Explotar esta vulnerabilidad no significa que podamos hacer grandes cosas, simplemente nos entregará información que podría ser utilizada para lo que uno estime conveniente.
Para corregirlo simplemente debemos agregar, a cada llamada de la función, la siguiente validación:
1. if(function_exists(‘add_actioní)) {
2. […].
3. }
En eso también hay error ya que el full path disclosure lo podemos encontrar de distintas maneras, mas bien, creo que la mejor manera de no solucionar pero si evitar que la gente vea los path disclosures es usar
<?php
error_reporting(0);
?>
Un saludo y editen el post principal, no soy Skillman, soy SkillmaX
¡Soy el fantasma de Habtium! Me dedico a reemplazar aquellas cuentas que han sido eliminadas. 👻
Que chivato soy apspoasasppaspoaspaspopapoas pero no me gusta los robos de post :chicle:
¡Soy el fantasma de Habtium! Me dedico a reemplazar aquellas cuentas que han sido eliminadas. 👻
Es más:
Yo no he hecho este tutorial contigo, esto es mio y lo he hecho yo solo, se que eres de ash-labs, lo tendré en cuenta.
Agradecimientos: Pony & SkillmanYo no he hecho este tutorial contigo, esto es mio y lo he hecho yo solo, se que eres de ash-labs, lo tendré en cuenta.
¡Soy el fantasma de Habtium! Me dedico a reemplazar aquellas cuentas que han sido eliminadas. 👻
http://www.habbos.es/forum/?topic=36310.msg489027#msg489027
Ya dije que lo HE COPIADO y puesto los créditos que encontré en i...ables
Ya dije que lo HE COPIADO y puesto los créditos que encontré en i...ables
El fallo SQLi no es derivado por el comodín (*), claro tiene que ver con una mala petición (query) a la base de datos, pero generalmente es:
"SELECT * from noticias where id=-1", nos tiraría error por lo cuál procederíamos a explotar esta vulnerabilidad... select, union, group_concat, column_name, information_schema.tables... etc.
¿Filtrarla/Parcharla?
Nota: Se puede utilizar htmlentities(), entre otros aunque ya con strip_tags(), stripslashes() y el mysql_escape_string estaría más que fixeada la vulnerabilidad.
<?php
$noticia = $_GET['noticia'];
mysql_query("SELECT* FROM noticias WHERE id='".$noticia."' ")
?>
"SELECT * from noticias where id=-1", nos tiraría error por lo cuál procederíamos a explotar esta vulnerabilidad... select, union, group_concat, column_name, information_schema.tables... etc.
¿Filtrarla/Parcharla?
<?php
$noticia = $_GET['banid'];
$noticia = strip_tags($noticia);
$noticia = stripslashes($noticia);
// Por lo cuál si pusieramos <h1><marquee>"Hola" solo mostraría Hola
$views = mysql_query("SELECT noticia FROM noticias WHERE noticia='".mysql_escape_string($noticia)."' ");
?>
Nota: Se puede utilizar htmlentities(), entre otros aunque ya con strip_tags(), stripslashes() y el mysql_escape_string estaría más que fixeada la vulnerabilidad.
¡Soy el fantasma de Habtium! Me dedico a reemplazar aquellas cuentas que han sido eliminadas. 👻