Me quedó totalmente claro quien es el novato en este tema por las urls que mencionas en la publicacion inicial, todas con informacion de muy alto nivel como un copy/pasteno hablamos del código interpretado, hablamos de las inyecciones de código a un lenguaje vulnerable, sin importar si hay un archivo con hola mundo, donde hay un html, un sitio con php antiguo es mas que suficiente para crear un problema. Pero esto no lo entienden los novatos.Si comprendes algo de pentesting reconocerás el peligro de una ves y para siempre. Aparte de todo lo anteriormente dicho hay mucho de que hablar del capa de sistemas.
Vuelve a leer el post que citaste del amigo, indica textualmente que depende del contexto, cuando usamos un script basico en PHP4,5,7 no sifnifica que nos van a jakear en 24 horas.Hola, no quiero comenzar un debate, pero ya con 18 años de ser sysadmin/devops, y programando los últimos 6 años, si soy paranoico y mi trabajo me obliga a hacerlo xq he tenido varios hacking con clientes, más de 3 DDOS,el que menos tardó fueron dos días tumbados - máximo 3, en esos tiempos no existía cloudfare etc etc, así que te las tenias que ingeniar con script bash, los ips en los firewalles apenas estaban saliendo, así que porque no esforzarte a realizar buenas prácticas en tus desarrollos o infraestructura, y no estamos hablando de formularios, que le puedo hacer a un formulario más que robar el correo o hacer spam con el, así que no viene al caso tu comentario, lo primero para evitar un hacking mantener la plataforma actualizada sea interna o externa.
Comparto el siguiente link:
PHP PHP : Security vulnerabilities, CVEs
Security vulnerabilities of PHP PHP : List of vulnerabilities affecting any version of this productwww.cvedetails.com
Nota: pasale openvas a una plataforma desarrollada en php 5.x y 7.x, a ver si no te tira varias de esas, es una de las herramientas que uso después de hacer una aplicación.
jaja ocea que jamas tuviste una instrucción?, jaja, lo entenderás cuando lo vivas, sino porque te piensas que hacen DevOps, deployment y CI/CD, pero claro señor, usted creerá saber todo hasta que le demuestren lo contrario.Vuelve a leer el post que citaste del amigo, indica textualmente que depende del contexto, cuando usamos un script basico en PHP4,5,7 no sifnifica que nos van a jakear en 24 horas.
Antes que exista este foro, administraba un antiguo foro de programacion y recibiamos a diario ataques DDOS y teniamos que detenerlos en esos tiempos cuando se usaba el servidor apache y sus modulos de seguridad (mod_evasive, mod_security, etc), la tecnica de hardening es recomendable pero en el contexto que me refiero pasa desapercibido
En mis tiempos le deciamos deface, en el foro de programacion y seguridad informatica discutiamos a diario esos temas realizando retos de XSS, SQLi, CSRF e inventando nuevas herramientas que automatizan los ataques, años despues nacieron herramientas como sqlmap, backtrack y similares, hoy en dia los muchachos creen saberlo todo por ser un Devops y detener todo con herramientas automatizas desconociendo como funcionan las vulnerabilidades por dentrojaja ocea que jamas tuviste una instrucción?, jaja, lo entenderás cuando lo vivas, sino porque te piensas que hacen DevOps, deployment y CI/CD, pero claro señor, usted creerá saber todo hasta que le demuestren lo contrario.
Hasta que un día llegan, se encuentran toda la información tanto del servidor como de las maquinas locales encriptada, backups eliminados y un mensaje pidiendo BTC por la key de recuperación en una web .onionNo todos comparten la misma visión de un usuario o el dueño de negocio en lo general.
Cada quien cuida como mejor le parece la seguridad de sus aplicaciones, ustedes se sentirían seguros en una web que no tenga actualizado su versión de php?.
Si sus clientes no actualizan es porque no tienen la capacidad de mostrarle la importancia que significa ello, pero un buen equipo de pentest podría hacer que cambien de opinión. Saludos.
Totalmente coincido con lo que dices.Para mi, siempre PHP va a ser más robusto que Node por ejemplo como backend.
Ahora, yo tengo clientes con versiones en php 5,6 dockerizado, siempre les digo que no publiquen eso al mundo, pero es cosa de ellos jeje… al final, creo que las actualizaciones al menos a 8 las apps en Laravel son más veloces
El comentario mas destacado del foro.Hasta que un día llegan, se encuentran toda la información tanto del servidor como de las maquinas locales encriptada, backups eliminados y un mensaje pidiendo BTC por la key de recuperación en una web .onion
Define Vulnerabilidad, segun wikipediaEn mis tiempos le deciamos deface, en el foro de programacion y seguridad informatica discutiamos a diario esos temas realizando retos de XSS, SQLi, CSRF e inventando nuevas herramientas que automatizan los ataques, años despues nacieron herramientas como sqlmap, backtrack y similares, hoy en dia los muchachos creen saberlo todo por ser un Devops y detener todo con herramientas automatizas desconociendo como funcionan las vulnerabilidades por dentro
Significa que todo lenguaje es inseguro hasta que se demuestre lo contrario.
También entiendo que a veces no suelo medir correctamente mis expresiones, pero creo que siempre estamos a tiempo para reconsiderar, creo que es injusto para los demás que se emita calificativos cuando la publicación tiene de fin informar con datos verdaderos y no echar juicios de valores sobre alguien en particular.Me quedó totalmente claro quien es el novato en este tema por las urls que mencionas en la publicacion inicial, todas con informacion de muy alto nivel como un copy/paste
Utilizamos cookies y tecnologías similares para los siguientes fines:
¿Aceptas las cookies y estas tecnologías?
Utilizamos cookies y tecnologías similares para los siguientes fines:
¿Aceptas las cookies y estas tecnologías?