luego los hackean y no saben por qué...

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
455
Edit: Ahora que ya hicimos farándula del tema, dejó una pequeña explicación de lo que estaba mal.

El source debería haber quedado usando sentencias preparadas (si fuera en PHP puro) de la siguiente forma:
PHP:
// $db es una instancia de PDO
$query = "UPDATE user SET pass=:user_password WHERE id=:user_id";
$statement = $db->prepare( $query );
$statement->execute([
    ':user_password' => $pass,
    ':user_id' => $user_id
]);

En cambio, incrustar dentro del SQL una variable que viene directamente desde el front como lo es $_GET, da pie a la entrada de lo que se conoce como SQL Injection. Y aunque no fuera así, la ausencia de validaciones circundantes que no comenté, daban pié a cambirle la clave a cualquier usuario, permitiendo de esa forma un movimiento horizontal para luego escalar privilegios dentro del sistema.

Es decir que (sin inyectar nada) se puede manipular el id de usuario para cambiarle la contraseña al administrador, escalando así tus privilegios dentro del sistema de la siguiente forma (mediante GET):

Código:
GET change_user_pass.php?p=12345#&id=1

Para el que quiera practicar SQL injection, dejo 2 guías, la idea es habilitar una instancia en MySQL/MariaDB por ejemplo, luego hacer log de las queries y en otra ventana tener la consola o el DBMS para el motor andando como MySQL Workbench, para ir testeando las queries a ver si sacan algo interesante, y de ésta forma aprender.
Tienen que hacerlo en las 2 formas, con sentencias preparadas y sin ellas, para ver en contraste cómo se mitiga un ataque de tipo admin' or 1 = 1, y además tienen que dejar que el programa corra normalmente para analizar como se comporta, a ver si hace lo que tiene que hacer, o si tiene algún otro tipo de fallo.

Hace un tiempo en internet me encontré con ésto al interior de un sistema mirando el source del cambio de claves de usuarios, en un archivo llamado algo así como change_user_pass.php.

PHP:
"UPDATE `user` SET pass='$p' WHERE id=".$_GET['id']." "

El perfil de la empresa era top cash en equipamiento dentro de su área técnica, y en principio uno se pregunta que diablos pasó aquí en pleno 2023, porque la cosa no termina de cuadrar. Pero la respuesta, luego de buscar los avisos de trabajo que publicaban era perfectamente lógica: "Practicantes". Incluso había gente que en linkedin tenía prácticas asociadas. Para no ahondar mas, el practicante había hasta dejado un comentario con su nombre en el archivo.

Igual todos aprenden de menos a mas, pero la culpa no es de los practicantes, si nó de los emprenegros que quieren abaratar costos a costa de personas que están aprendiendo. Lo fome es que los chismes llegan eventualmente a oidos de los empleadores (me ha tocado verlo), y entre empresarios nunca se hechan la culpa.

Lo penca del asunto, es que el tamaño del problema no da para un parchado de seguridad, el sistema se debe dar de baja o restringir a la red local de la oficina y volver a desarrollar desde cero, algo que los emprenegros por su puesto no estuvieron dispuestos a costear, es mas, querían demandar al practicante :lol.

Entonces queda la moraleja, si uno es practicante, a veces por apuro se termina trabajando con emprenegros. Y a la larga, yo creo que es mas beneficioso quedar en una empresa donde uno pueda proyectarse aunque sea con el conocimiento aprendido y el dinero del transporte mas que apechugar solo con un sistema en la era del ciber crimen en pleno apogeo.
 
Última modificación:

rodrigokfw

Gold Member
Se incorporó
19 Octubre 2007
Mensajes
2.616
esta bien, son los riesgos de esas empresas por contratar practicantes sin supervisión de ingenieros, apoyo que les dejen esas embarradas.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.637
querían demandar al practicante :lol.

wtf, wnes careraja. Le piden a un estudiante que nunca ha trabajado en el ámbito empresarial que escriba código perfecto? Para escribir código siguiendo las buenas prácticas son años de experiencia y aún así es imposible escribir código perfecto, es como preguntarle a un estudiante que te arme una casa completa xD Miles de detallitos sólo lo saben los wnes que han trabajado por años en el rubro y donde se traspasa el conocimiento echando a perder, mejor aún si hay un control de calidad por parte de alguien más experimentado.

Bueh, uno paga tb por lo que obtiene 🤷‍♂️

Saludos.
 
Upvote 0

browsons

Capo
Se incorporó
29 Noviembre 2005
Mensajes
268
El empresario al peo chileno mayoritariamente no tiene intenciones de invertir en el departamento de informática si es que tienen, si pueden externalizan hasta al soporte que les formatee los computadores y si es necesario buscan algún TI que este recién saliendo de industrial para pagarles casi el mínimo.

Menos van a invertir en seguridad, para que si existen el antivirus de Windows o el Avast free, en el software pasa lo mismo, si es gratis se implementa si no no hay presupuesto.
 
Upvote 0

beatlejo

Fanático
Se incorporó
28 Julio 2019
Mensajes
1.800
Lo que comentan pasa en todas las áreas de diversas profesiones. Por ejemplo en periodismo ustedes encontrarán que en verano todos los departamentos de prensa tienen agentes sin experiencia armando notas o reportajes. Muchas veces pagan simplemente con dinero para la locomoción o otras veces no dan nada. Es un terreno que debiera ser Regulado. Finalmente, se dice que la práctica es para aprender, pero muchas veces no hay nadie al lado tuyo para enseñar.
 
Upvote 0

dwyer

Sonidista-Computin
Se incorporó
10 Mayo 2005
Mensajes
2.847
Lo que comentan pasa en todas las áreas de diversas profesiones. Por ejemplo en periodismo ustedes encontrarán que en verano todos los departamentos de prensa tienen agentes sin experiencia armando notas o reportajes. Muchas veces pagan simplemente con dinero para la locomoción o otras veces no dan nada. Es un terreno que debiera ser Regulado. Finalmente, se dice que la práctica es para aprender, pero muchas veces no hay nadie al lado tuyo para enseñar.
Eso pasa mucho en medios de comunicación, con la salvedad que los practicantes tienen un editor que les debe aprobar sus trabajos (escrito, video, audio) entonces la culpa claramente es del wn que los tiene a cargo

Saludos
 
Upvote 0

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
455
Me hace ruido "emprenegro". Me imagino un emprendedor originario de Haití, por ejemplo. :xd
Se que viene de "empresario negrero".

wtf, wnes careraja.
Lo mejor era verle la cara al tipo, porque se veía bien sulfurado jajaja... es típico igual en Chile y en Latam. En Perú pasa mucho en la construcción, hacen columnas huecas para ingresar tuberías, y esas mismas columnas tienen que soportar los pisos que vienen arriba. Luego los maestros tienen la culpa.

Querían demandar a una persona sin experiencia en calidad de practicante o sea sin un contrato de trabajo... suerte con eso
No necesariamente es así, he sabido de varias personas que reciben ofertas mierda, pero que para un estudiante no son tan mierda (de alguna forma el no tener título les justifica ganar mal), los convencen de cambiar a vespertino y los exprimen en calidad de contrata, luego les firman los papeles de práctica y les prometen un aumento una vez titulados.
 
Upvote 0

alex_xp

Gold Member
Se incorporó
12 Octubre 2004
Mensajes
2.616
No necesariamente es así, he sabido de varias personas que reciben ofertas mierda, pero que para un estudiante no son tan mierda (de alguna forma el no tener título les justifica ganar mal), los convencen de cambiar a vespertino y los exprimen en calidad de contrata, luego les firman los papeles de práctica y les prometen un aumento una vez titulados.
A lo que me refiero es que si esta en calidad de estudiante en practica esto no origina un contrato de trabajo (por lo que no esta afecto a los deberes y derechos), en estricto rigor esta a cargo de una persona con experiencia en la empresa por lo que a nivel de responsabilidades no le corresponde al estudiante asumirlas sino a quien vela por él.
Si el negrero quisiera querellarse contra el estudiante este no tiene la responsabilidad de certificar por el buen trabajo, porque aún esta en formación, sino que el mismo empleador.
 
Upvote 0

Ena McEna

Capo
Se incorporó
26 Marzo 2009
Mensajes
225
Me hace ruido "emprenegro". Me imagino un emprendedor originario de Haití, por ejemplo. :xd
Extraño ese humor negro de los 90.



A lo que me refiero es que si esta en calidad de estudiante en practica esto no origina un contrato de trabajo (por lo que no esta afecto a los deberes y derechos), en estricto rigor esta a cargo de una persona con experiencia en la empresa por lo que a nivel de responsabilidades no le corresponde al estudiante asumirlas sino a quien vela por él.
Si el negrero quisiera querellarse contra el estudiante este no tiene la responsabilidad de certificar por el buen trabajo, porque aún esta en formación, sino que el mismo empleador.

Da lo mismo. Podrias demandarlo por hacer daño a propósito, si puedes probarlo, pero no por incompetente. Al final, debe haber una equivalencia entre prestaciones, y si la tuya es baja (colacion y movilización), no te da para exigir cosas bien hechas. El juez probablemente haría mierda al abogado por temerario.

Sent from my Pixel 4a (5G) using Tapatalk
 
Upvote 0

Audrey

Umbridge
Se incorporó
20 Agosto 2019
Mensajes
2.350
Extraño ese humor negro de los 90.
GettyImages-141317655.jpg
 
Upvote 0

alex_xp

Gold Member
Se incorporó
12 Octubre 2004
Mensajes
2.616
Da lo mismo. Podrias demandarlo por hacer daño a propósito, si puedes probarlo, pero no por incompetente. Al final, debe haber una equivalencia entre prestaciones, y si la tuya es baja (colacion y movilización), no te da para exigir cosas bien hechas. El juez probablemente haría mierda al abogado por temerario.

Sent from my Pixel 4a (5G) using Tapatalk
Insisto, en primer lugar no tienes una relación laboral con el empleador y en segundo lugar estas a cargo de otra persona que tiene que calificar tu trabajo. Lo único que vas a poder lograr probar es que fuiste un irresponsable e inútil en tus controles y procesos de software porque ese portal el practicante no le dio el VºBº ni tampoco lo subió por si sólo.
 
Upvote 0
Subir