Seguridad Archivos - Parzibyte's blog

Encriptar y desencriptar información con JavaScript usando AES

Criptografía javascript Seguridad web

Encriptación con JavaScript del lado del cliente usando la Web Crypto API

En este post de programación con JavaScript en el navegador veremos cómo encriptar y desencriptar datos usando una API nativa, segura y confiable.

Encriptar y desencriptar información con JavaScript usando AES

Encriptar y desencriptar información con JavaScript usando AES

Vamos a usar la interfaz Crypto a través de window.crypto. Al final podremos encriptar y desencriptar archivos usando una contraseña, derivando una clave de la misma y usando AES para el cifrado de datos.

Nota: voy a usar cifrado y encriptado como sinónimos para referirme a la encriptación de información.

Por cierto, usaremos la encriptación simétrica aunque también es posible usar la asimétrica con claves públicas y privadas.

Por parzibyte, hace 3 mesesfebrero 14, 2022

Firebase Seguridad

Deshabilitar operación en colección de Firestore Database

Hoy te mostraré cómo ajustar las reglas de una base de datos de Firestore en Firebase para deshabilitar los permisos de eliminar y actualizar en determinada colección, sin importar el usuario o documento.

Específicamente vamos a modificar las reglas de update y delete.

Por parzibyte, hace 6 meses

PHP y MySQL - Login con máximo número de intentos

mysql php Seguridad web

PHP – Login con límite de intentos usando MySQL

En este artículo de programación con PHP y MySQL te mostraré cómo implementar un login, autenticación o inicio de sesión con límite de intentos, teniendo a MySQL como base de datos.

PHP y MySQL - Login con máximo número de intentos

PHP y MySQL – Login con máximo número de intentos

Con el límite de intentos me refiero a que cuando el usuario coloque la contraseña incorrecta, se irá aumentando un contador de errores o de intentos fallidos. Si llega a determinado número, se bloqueará el acceso hasta que el contador se reinicie.

Este ejemplo completo de código que te mostraré tiene el módulo de login, de creación de usuarios y de usuarios en donde se pueden borrar los intentos fallidos de cualquier usuario.

Además, solo los usuarios que hayan iniciado sesión pueden acceder a la administración de usuarios del sistema. Recuerda que para guardar todos los datos vamos a usar MySQL y vamos a usar PHP como lenguaje de programación.

Por parzibyte, hace 1 añoenero 20, 2021

redes Seguridad

Wifiphisher: página de phishing personalizada

En este post te mostraré cómo crear tu propia página de phishing para usarla con wifiphisher. Te mostraré con un ejemplo práctico traduciendo la página de actualización de firmware al español.

Por parzibyte, hace 2 añosmarzo 18, 2020

redes Seguridad

Obtener clave de WiFi con wifiphisher y phishing

En posts anteriores te mostré cómo obtener la contraseña o clave de WiFi de una red con Aircrack-ng usando fuerza bruta, hoy veremos otro tipo de ataque en donde en su lugar hacemos phishing para que el usuario nos dé la clave.

Poniéndolo en otras palabras vamos a hackear una red wifi, ya que el usuario nos dará la clave del módem. La herramienta que vamos a usar se llama wifiphisher.

Por parzibyte, hace 2 añosmarzo 18, 2020

linux redes Seguridad

Obtener clave de red WPA2 con Aircrack-ng

Hackear WPA2 con aircrack

Este no es un post falso ni con clickbait. Realmente te mostraré cómo puedes obtener la clave de una red WiFi que esté protegida con WPA2 usando aircrack.

Recuerda que para que esto funcione debes contar con aircrack-ng instalado. Si usas Debian o uno de sus derivados simplemente ejecuta sudo apt-get install aircrack-ng

También necesitas tener un adaptador inalámbrico (tarjeta de red, antena, como le llames) que soporte el modo monitor.

Recuerda que todo esto no es simple magia, hay varios factores que intervienen. Por cierto, yo solo te muestro esto con fines educativos y no me hago responsable de lo que puedas llegar a hacer con esto.

Por parzibyte, hace 2 añosmarzo 18, 2020

Información del certificado https

Seguridad web windows

OpenSSL en Windows – Generar crt y key para HTTPS

En este post te mostraré cómo generar un certificado para poder (en palabras simples) agregar HTTPS a una app web usando el archivo con extensión crt y la clave con extensión key, desde el proceso de descargar openssl hasta la generación.

Nota: este certificado no es válido en la mayoría de casos, es decir, funciona para pruebas locales o para cuando necesitas HTTPS para pasar la seguridad del navegador, pero no para ponerle https a un sitio normal ya que dará una advertencia. Si quieres hacer eso, compra uno con tu proveedor de hosting o utiliza letsencrypt.

Por parzibyte, hace 2 años

Bloquear IP con Apache

Apache Seguridad

Bloquear IP con Apache server

En este artículo te muestro cómo denegar el acceso completo a tu sitio web a un usuario con el solo hecho de saber su IP, utilizando el servidor web apache o apache web server.

Bloquear el acceso a un sitio web según la IP del cliente permite bloquear visitantes maliciosos o bots. Eso sí, recuerda que pueden cambiar su IP así que puedes combinar esto con un captcha.

Bueno, veamos cómo usar apache y el archivo .htaccess para degenar el acceso a determinada ip.

Por parzibyte, hace 3 años

Demostración de reCAPTCHA v2 con PHP

apis Bootstrap 4 HTML php Seguridad

reCAPTCHA v2 con PHP – Ejemplo de integración

Integrar reCAPTCHA v2 con PHP en formulario

En este post te enseñaré a integrar el servicio llamado reCAPTCHA v2 con PHP, el cual es un simple captcha o checkbox de “no soy un robot” en un formulario HTML.

También te enseñaré a verificarlo con PHP del lado del servidor.

El servicio que vamos a integrar es reCAPTCHA v2, el cual funciona en varios lenguajes de servidor, pues se consume usando HTTP; hoy veremos cómo hacerlo en PHP.

Veremos un ejemplo del formulario y de la comprobación en el lado del servidor.

También dejaré una demostración. Al final tendremos algo como lo del gif:

Demostración de reCAPTCHA v2 con PHP

Formulario de Bootstrap 4 con reCAPTCHA v2 y PHP

Por parzibyte, hace 3 añosagosto 21, 2019

2 - Dominio y condiciones

apis Seguridad web

reCAPTCHA v2 – Conseguir claves y agregar localhost

Obtener par de claves para integrar reCAPTCHA v2

En este post te mostraré a registrar un nuevo sitio en Google para poder usar reCAPTCHA. Es decir, veremos cómo registrar tu dominio y obtener las claves que se necesitan.

También veremos cómo agregar el dominio de localhost para hacer pruebas locales.

Por parzibyte, hace 3 añosagosto 21, 2019

Android java Seguridad web

Solución Android y Java – CLEARTEXT communication not permitted by network security policy

Resumen: en este post te mostraré la solución al error de Android que dice así:

java.net.UnknownServiceException: CLEARTEXT communication to sitio.com not permitted by network security policy

Esto es debido a que estamos usando HTTP, y no HTTPS.

Por parzibyte, hace 3 años

php Seguridad web

Validación en PHP, usando Valitron

En este post te mostraré a validar los datos que el usuario ingresa en PHP ya sea a través de un formulario o de otras fuentes; usando la librería Valitron, que funciona muy bien para validar en PHP.

El repositorio de esta librería está aquí, y su uso es simple, además de que no requiere ningún framework o dependencia externa.

Un extra que tiene esta librería de validación de PHP es que permite mostrar los mensajes en idioma español.

Nota: el código que se expone aquí, es decir, la demostración, está en mi GitHub.

Por parzibyte, hace 3 años

php Seguridad web

Cifrar archivos con PHP

Resumen

Vamos a cifrar y descifrar archivos con PHP de dos maneras; la primera usando una clave “general” y otra con una contraseña.

Para cifrar y descifrar vamos a usar la librería php-encryption.

La diferencia es que con el segundo ejemplo podremos hacer que los usuarios tengan sus archivos cifrados con una contraseña que solo ellos sepan, y cada uno tendrá una clave distinta.

Por parzibyte, hace 3 añosjulio 23, 2019

php Seguridad web

Cifrar y descifrar información con PHP

En este artículo te voy a mostrar cómo encriptar y desencriptar datos usando PHP, para mantener los datos seguros. Veremos cómo:

Cifrar datos
Descifrar datos
Cifrar datos usando la contraseña de un usuario
Descifrar datos usando la contraseña de un usuario

Estos dos últimos ejemplos funcionan muy bien para cuando queremos asegurar la información incluso para los desarrolladores de la aplicación.

Recuerda que encriptar es distinto a hashear; porque cuando encriptamos un valor con PHP lo hacemos de esa manera para desencriptarlo más tarde. En cambio, al hashear una contraseña, su valor no es reversible.

La librería que vamos a usar para encriptar y desencriptar datos en PHP se llama php-encryption y su repositorio en GitHub lo puedes ver aquí.

Nota: voy a usar encriptar y cifrar como sinónimos para este post, al igual que desencriptar y descifrar.

Por parzibyte, hace 3 años

3 - Elegir root

linux Seguridad Servidores Ubuntu

Resetar contraseña de Ubuntu

Hoy, al intentar iniciar una máquina virtual con Linux Ubuntu que usé hace tiempo para unos ejercicios de la escuela me di cuenta de que había olvidado la contraseña.

No me costaba nada reinstalar el sistema, pues solo lo usaba para fines didácticos, pero la pereza pudo conmigo y preferí resetear la contraseña del usuario, además de documentar el proceso.

Recomendado: mira la administración de usuarios en Ubuntu para que entiendas cómo obtenemos la lista de usuarios y reseteamos la contraseña.

Por parzibyte, hace 3 añosjulio 4, 2019