no hablamos del código interpretado, hablamos de las inyecciones de código a un lenguaje vulnerable, sin importar si hay un archivo con hola mundo, donde hay un html, un sitio con php antiguo es mas que suficiente para crear un problema. Pero esto no lo entienden los novatos.Si comprendes algo de pentesting reconocerás el peligro de una ves y para siempre. Aparte de todo lo anteriormente dicho hay mucho de que hablar del capa de sistemas.
Me quedó totalmente claro quien es el novato en este tema por las urls que mencionas en la publicacion inicial, todas con informacion de muy alto nivel como un copy/paste
XxMarkxX
Beta
Programador
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Hola, no quiero comenzar un debate, pero ya con 18 años de ser sysadmin/devops, y programando los últimos 6 años, si soy paranoico y mi trabajo me obliga a hacerlo xq he tenido varios hacking con clientes, más de 3 DDOS,el que menos tardó fueron dos días tumbados - máximo 3, en esos tiempos no existía cloudfare etc etc, así que te las tenias que ingeniar con script bash, los ips en los firewalles apenas estaban saliendo, así que porque no esforzarte a realizar buenas prácticas en tus desarrollos o infraestructura, y no estamos hablando de formularios, que le puedo hacer a un formulario más que robar el correo o hacer spam con el, así que no viene al caso tu comentario, lo primero para evitar un hacking mantener la plataforma actualizada sea interna o externa.
Security vulnerabilities of PHP PHP : List of vulnerabilities affecting any version of this product
www.cvedetails.com
Nota: pasale openvas a una plataforma desarrollada en php 5.x y 7.x, a ver si no te tira varias de esas, es una de las herramientas que uso después de hacer una aplicación.
Vuelve a leer el post que citaste del amigo, indica textualmente que depende del contexto, cuando usamos un script basico en PHP4,5,7 no sifnifica que nos van a jakear en 24 horas.
Antes que exista este foro, administraba un antiguo foro de programacion y recibiamos a diario ataques DDOS y teniamos que detenerlos en esos tiempos cuando se usaba el servidor apache y sus modulos de seguridad (mod_evasive, mod_security, etc), la tecnica de hardening es recomendable pero en el contexto que me refiero pasa desapercibido
juanma386
Beta
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Vuelve a leer el post que citaste del amigo, indica textualmente que depende del contexto, cuando usamos un script basico en PHP4,5,7 no sifnifica que nos van a jakear en 24 horas.
Antes que exista este foro, administraba un antiguo foro de programacion y recibiamos a diario ataques DDOS y teniamos que detenerlos en esos tiempos cuando se usaba el servidor apache y sus modulos de seguridad (mod_evasive, mod_security, etc), la tecnica de hardening es recomendable pero en el contexto que me refiero pasa desapercibido
jaja ocea que jamas tuviste una instrucción?, jaja, lo entenderás cuando lo vivas, sino porque te piensas que hacen DevOps, deployment y CI/CD, pero claro señor, usted creerá saber todo hasta que le demuestren lo contrario.
XxMarkxX
Beta
Programador
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
jaja ocea que jamas tuviste una instrucción?, jaja, lo entenderás cuando lo vivas, sino porque te piensas que hacen DevOps, deployment y CI/CD, pero claro señor, usted creerá saber todo hasta que le demuestren lo contrario.
En mis tiempos le deciamos deface, en el foro de programacion y seguridad informatica discutiamos a diario esos temas realizando retos de XSS, SQLi, CSRF e inventando nuevas herramientas que automatizan los ataques, años despues nacieron herramientas como sqlmap, backtrack y similares, hoy en dia los muchachos creen saberlo todo por ser un Devops y detener todo con herramientas automatizas desconociendo como funcionan las vulnerabilidades por dentro
Para mi, siempre PHP va a ser más robusto que Node por ejemplo como backend.
Ahora, yo tengo clientes con versiones en php 5,6 dockerizado, siempre les digo que no publiquen eso al mundo, pero es cosa de ellos jeje… al final, creo que las actualizaciones al menos a 8 las apps en Laravel son más veloces
No todos comparten la misma visión de un usuario o el dueño de negocio en lo general.
Cada quien cuida como mejor le parece la seguridad de sus aplicaciones, ustedes se sentirían seguros en una web que no tenga actualizado su versión de php?.
Si sus clientes no actualizan es porque no tienen la capacidad de mostrarle la importancia que significa ello, pero un buen equipo de pentest podría hacer que cambien de opinión. Saludos.
Hasta que un día llegan, se encuentran toda la información tanto del servidor como de las maquinas locales encriptada, backups eliminados y un mensaje pidiendo BTC por la key de recuperación en una web .onion
juanma386
Beta
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Para mi, siempre PHP va a ser más robusto que Node por ejemplo como backend.
Ahora, yo tengo clientes con versiones en php 5,6 dockerizado, siempre les digo que no publiquen eso al mundo, pero es cosa de ellos jeje… al final, creo que las actualizaciones al menos a 8 las apps en Laravel son más veloces
Hasta que un día llegan, se encuentran toda la información tanto del servidor como de las maquinas locales encriptada, backups eliminados y un mensaje pidiendo BTC por la key de recuperación en una web .onion
En mis tiempos le deciamos deface, en el foro de programacion y seguridad informatica discutiamos a diario esos temas realizando retos de XSS, SQLi, CSRF e inventando nuevas herramientas que automatizan los ataques, años despues nacieron herramientas como sqlmap, backtrack y similares, hoy en dia los muchachos creen saberlo todo por ser un Devops y detener todo con herramientas automatizas desconociendo como funcionan las vulnerabilidades por dentro
Me quedó totalmente claro quien es el novato en este tema por las urls que mencionas en la publicacion inicial, todas con informacion de muy alto nivel como un copy/paste
También entiendo que a veces no suelo medir correctamente mis expresiones, pero creo que siempre estamos a tiempo para reconsiderar, creo que es injusto para los demás que se emita calificativos cuando la publicación tiene de fin informar con datos verdaderos y no echar juicios de valores sobre alguien en particular.
Agradecería se allane al asunto comentado, como colaborativos para generar una charla amena. Somos todos expectantes. ¿Conoces los enlaces de referencias?, seria de gran valor que en sus frases por favor considere a los demás, todos merecen ser valorados con una dosis de datos relevantes y de interés global, sin importar la experiencia particular, muchos comprendemos mejor que otros, aunque eso difiera de la experiencia de cada uno. El respeto sobre todo es la base de toda sociedad.
