bases de datos Mongo DB Seguridad Servidores

Habilitar autenticación y crear administrador en MongoDB

Por defecto, si instalamos el motor de base de datos de MongoDB, no hay seguridad. Es decir, cualquiera puede entrar y hacer lo que se le antoje, pues no hay permisos ni usuarios. Por eso es que hoy veremos:

Cómo habilitar la seguridad en MongoDB
Cómo crear un usuario administrador

De esta manera tendremos nuestra base de datos asegurada, o bueno, al menos tendremos roles y permisos para que no cualquiera se pueda loguear.

En otras palabras, en este post trato de explicar cómo asegurar nuestra instalación de MongoDB creando nuestro usuario administrador.

(más…)

parzibyte

Algoritmos Lenguaje de programación C Seguridad

Algoritmo de cifrado César en C

Anteriormente vimos cómo implementar el algoritmo de cifrado de César en Python, ahora veremos cómo cifrar y descifrar una oración usando el cifrado César igualmente, pero en el lenguaje de programación C.

Implementar el algoritmo en C es un poco más complicado que en otros lenguajes, sobre todo por la manipulación de cadenas, pero eso no es un impedimento.

Cifrado César en C

Veamos entonces cómo codificar el algoritmo de cifrado César en C.

(más…)

parzibyte

Algoritmos python Seguridad

Implementación del cifrado César en Python

En un post anterior vimos cómo usar ord y chr en Python. Ahora veremos un caso práctico, el cual es aplicarlos para implementar el cifrado César en Python.

Cifrado césar en Python

Seguramente por ahí habrá otras implementaciones, aquí presento la mía, espero que sea clara y explique cómo funciona el método de cifrado César en Python.

(más…)

parzibyte

Algoritmos Seguridad

Explicación del cifrado César

Este cifrado utiliza un cifrado por sustitución, en donde cada letra es remplazada por otra que se encuentre a N posiciones de distancia. Por poner un ejemplo, si se rota 1 vez, los resultados son:

Cadena original: parzibyte

Cadena rotada: qbsajczuf

La sustitución se hace hacia la derecha. La p se convierte en q, la a en b y así sucesivamente. Para decodificar se rota hacia la izquierda con el mismo número de rotaciones; la q se convierte en p, la b en a y así hasta terminar.

Puedes leer más en la wikipedia, pero en resumen, Julio César lo usaba rotando 3 veces las letras. Se supone que en aquellos tiempos poca gente sabía leer, y la que sabía leer no se imaginaba cómo hacer el criptoanálisis.

(más…)

parzibyte

Hashear contraseñas en Python usando bcrypt

Algoritmos python Seguridad

Hashear contraseñas con Python y bcrypt

Anteriormente vimos cómo generar una contraseña segura en Python cuando necesitamos un token o una clave segura, ahora veremos cómo hashear una contraseña en Python, usando bcrypt.

El algoritmo de bcrypt es usado también por PHP al hashear contraseñas. Igualmente está disponible en Go.

Hashear contraseñas en Python usando bcrypt

Hashear contraseñas es un estándar que debemos seguir al implementar autenticación de usuarios, por ejemplo. Pero bueno, vamos al tutorial en donde veremos:

Cómo instalar la librería de bcrypt usando pip
Cómo hashear una contraseña con bcrypt y Python
Cómo comprobar si una contraseña coincide con el hash de bcrypt en Python
Costos y límites de bcrypt en Python

(más…)

parzibyte

Cadena aleatoria segura criptográficamente con Python

python Seguridad

Generar contraseña o cadena segura en Python

Con el lenguaje de programación Python es muy fácil generar un token o cadena segura, hablando criptográficamente.

Recientemente se ha introducido el módulo secrets que nos permite generar una contraseña aleatoria y segura para usarla como token, clave de encriptación o cosas de esas.

Cadena aleatoria segura criptográficamente con Python

Si no tienes Python 3, es hora de actualizar. Mira cómo instalarlo aquí.

(más…)

parzibyte

Lenguaje de programación C Seguridad

Usar fgets en lugar de scanf en C

Cuando aprendemos algoritmos en C, la forma de escanear variables por teclado es a través de scanf. Si bien este método funciona, existe el peligro de un desbordamiento de búfer.

Antes que nada te invito a ver lo que es un desbordamiento de búfer en C.

fgets vs scanf en C

Después de que leíste lo del desbordamiento es hora de ver por qué es mejor usar fgets en lugar de scanf. Esto es porque fgets escanea una variable pero únicamente hasta donde le digamos; es decir, nosotros le decimos cuánto debe leer (el tamaño).

Scanf en cambio no hace eso, lee todo dentro de la posición en memoria.

(más…)

parzibyte

Lenguaje de programación C Seguridad

Desbordamiento de búfer en C

Hoy veremos lo que es un desbordamiento de búfer en C y cómo puede (en su forma más simple) hacer que un usuario aproveche esa vulnerabilidad para explotar nuestro programa.

Nota: esto es diferente a cuando se desborda una variable.

Lo que es un desbordamiento de búfer

Según la Wikipedia:

En seguridad informática y programación, un desbordamiento de búfer (del inglés buffer overflow o buffer overrun) es un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer): Si dicha cantidad es superior a la capacidad preasignada, los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original, que probablemente pertenecían a datos o código almacenados en memoria. Esto constituye un fallo de programación.

En otras palabras le da al usuario de nuestro programa la forma de sobrescribir una variable a su antojo; bueno, no siempre y no tan fácil, pero alguien con tiempo puede encontrarlas y explotarlas.

Esto es peligroso en programas que se van para producción, por ejemplo un sistema de la apertura de una puerta o cosas de esas que tienen que ver con la seguridad.

(más…)

parzibyte

php Seguridad web

hash_equals y ataques de temporización (timming attacks) en PHP

Introducción

En una ocasión estaba leyendo sobre los ataques de temporización y la recomendación de usar hash_equals en lugar de simples comparaciones con PHP. Más tarde me puse a investigar y supe la razón de usar hash_equals cuando estamos tratando con contraseñas (que al final son cadenas).

(más…)

parzibyte

bases de datos Historias Seguridad web

Cuando descubrí que las contraseñas de una web no estaban hasheadas

Introducción

Esto es otra historia personal, se trata sobre una plataforma web que está mal programada, de la cual descubrí que no hashea (o encripta como dicen por ahí, aunque no es la forma correcta) las contraseñas de los usuarios, además de que no valida nada.

Todo comenzó porque por gracioso cambié mi contraseña y puse una de 100 caracteres. La cambié, cerré sesión y magia, ya no podía entrar.

(más…)

parzibyte

bases de datos mysql Seguridad sql

Dar permiso de select, insert, update y delete a usuario en MySQL

Introducción

Esta es una entrada corta pero útil. A veces viene de maravilla saber cómo darle permisos a un usuario en MySQL de tal modo que realice las operaciones básicas de un CRUD o ABC.

Veamos cómo crear un usuario y darle permisos de:

select
insert
update
delete

Esto lo haremos con el comando GRANT en MySQL. Vamos allá.

(más…)

parzibyte

CodeIgniter php Seguridad web

Subir y publicar un proyecto de CodeIgniter a internet

Introducción

En este post explicaré algunos consejos y formas de subir un proyecto de CodeIgniter a internet. Veremos cómo asegurar nuestra app, qué archivos subir y por qué lo hacemos. Todo esto es para mostrarte cómo publicar tu app de CodeIgniter.

Recuerda que primero debes leer una pequeña introducción a CodeIgniter porque ahí indico algunas cosas básicas.

(más…)

parzibyte

Apache CodeIgniter php Seguridad Servidores

Poner modo producción en CodeIgniter 3

Introducción

Veremos cómo poner el modo producción en CodeIgniter. Este modo deberíamos activarlo siempre que publiquemos nuestro proyecto a internet para tener más seguridad.

Recuerda que también puedes ver cómo habilitar el log de errores en CodeIgniter.

(más…)

parzibyte

javascript Node.JS Seguridad Servidores

Comprobar si es correo electrónico en JavaScript: la forma definitiva

Introducción

Sabemos que la validación del lado del cliente no sirve de mucho, únicamente para indicar al usuario si se ha equivocado en determinada cosa. De todos modos también podemos usar JavaScript del lado del servidor, en donde tendría más sentido validar un correo electrónico en JavaScript.

El punto es que veremos cómo comprobar si un string es un correo electrónico válido usando JavaScript.

Nota: mira aquí cómo validar un email en Python.

(más…)

parzibyte

HTML javascript Seguridad web

Script para cambiar todas las imágenes de una página web

Introducción

En un día de estos estaba un poco aburrido y como siempre quise saber cómo cambiar todas las imágenes de una página web me dispuse a programar un script muy sencillo en JavaScript para lograr esto.

Es decir, sin ser dueño de la página, cambiar todas las imágenes por una de nuestra preferencia

Nota: esto no tiene nada que ver con hackeos o cosas de esas, es totalmente seguro y no daña a nadie. Si conoces un sitio con una vulnerabilidad XSS puedes aplicar el script y verás que funciona. Si no lo conoces, puedes probar abriendo la consola de depuración y pegando el código. De todas maneras, no me hago responsable si algo sale mal.

(más…)

parzibyte

L	M	X	J	V	S	D
« Nov
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31