Archivos del mes: octubre 2006
Evasión del filtro anti-phishing en Firefox 2.0
Al parecer la última versión de Firefox 2 hace una validación sencilla para comprobar si un sitio es falso o no. Por ejemplo, al entrar a la siguiente dirección se muestra la advertencia indicando que es un sitio fraudulento: http://200.119.135.99/ebay/login5878/ Sin embargo, al ingresar a la misma dirección pero con el IP en formato hexadecimal, [...]
Más sobre validación de datos en PHP
Como había mencionado anteriormente, para desarrollar aplicaciones seguras, hay que conocer bien la herramienta o lenguaje con el que se trabaja. Espero que estos pequeños quiz intenten mostrar algunas de las fallas más comunes que cometen los que recién empiezan o ya desarrollan con PHP. El código mostrado a continuación, ¿tiene alguna falla? ¿cuál? php:<?php [...]
Otra vulnerabilidad en IE7
Secunia muestra una segunda vulnerabilidad en Internet Explorer 7 que facilita los ataques phishing, al mostrar sólo parte de una URL que contiene caracteres 0xA0. A continuación, parte del contenido de la prueba de concepto que hizo Secunia. html:<div id="start"><a href="javascript:StartTest();"><font color="#000000">Test Now - Left Click On This Link</font></a></div> javascript:<script language="JavaScript"> function StartTest() { var [...]
Entrada publicada en Artículos, Seguridad
Buscando nuevo hosting
Luego de superar en parte algunos problemas, andamos buscando una cuenta reseller no muy grande que permita alojar unas cuantas páginas sin mucho tráfico. Las cosas que necesitamos son: Apache - mod_security* + mod_rewrite habilitado + MySQL + PHP 4.x o 5.x / necesario para el blog Espacio en disco de 1GB o más, transferencia [...]
Entrada publicada en Varios
Pequeño ejemplo de XSS
XSS, es según la Wikipedia un tipo de vulnerabilidad surgida como consecuencia de errores de filtrado de las entradas del usuario en aplicaciones web. Mostraré un ejemplo que creo que todos hemos hecho o seguimos haciendo hasta ahora: HTML: <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post"> </form> Y ahora las preguntas: ¿Qué tiene de malo este [...]
Autenticación de usuarios y sesiones en PHP
Continuando con la pequeña serie de posts que intentan mostrar algunas fallas comunes que hacemos los aficionados a PHP, e incluso los que se dedican profesionalmente a desarrollar aplicaciones con este lenguaje, esta vez tocaremos el tema de sesiones. user.php, necesita de la clase ezSQL, puedes saber mas sobre esta clase en este artículo. php: [...]
ASP.NET Ajax Beta & AJAX Control Toolkit
Acaba de lanzarse la primera beta de ASP.NET Ajax (a.k.a Atlas) Esta beta, como había anunciado Scott Guthrie, está dividido en: Microsoft AJAX Library: el framework para el cliente ASP.NET 2.0 AJAX Extensions: integración con ASP.NET ASP.NET AJAX Control Toolkit: Conjunto de controles y componentes que extienden la funcionalidad de los anteriores. También ha sido [...]
Ajax, flash, seguridad y demás yerbas
Como ya saben, las peticiones usando el objeto XMLHttpRequest -o su equivalente en IE-, están limitadas por defecto al mismo dominio. Cuando el objeto XMLHttpRequest funciona en un navegador, se adopta la misma política de seguridad típica de JavaScript. Mozilla requiere envolver el objeto dentro de los privilegios de seguridad UniversalBrowserRead. IE, por otra parte, [...]
Entrada publicada en AJAX, JavaScript, Seguridad
IE7 lanzado
Asi es, el tan esperado Internet Explorer 7 acaba de ser lanzado al menos en inglés. Las versiones en árabe, francés, alemán, japonés y español estarán listas en un par de semanas, y los demás lenguajes entre noviembre y enero. Si están impacientes por probarlo, pueden descargarlo ahora mismo, yo esperaré que liberen IE8
Entrada publicada en Varios
Recupera tus contraseñas almacenadas con MD5
Seguramente algunas de las siguientes páginas les servirán cuando tengan la necesidad de romper un hash MD5. http://passcracking.ru/ (base de datos +rainbow tables) http://passcrack.spb.ru/ (base de datos +rainbow tables) http://www.plain-text.info/add/ (base de datos +rainbow tables) https://www.astalavista.net/?cmd=rainbowtables (base de datos +rainbow tables) http://www.md5lookup.com/?category=main&page=search http://gdataonline.com/seekhash.php http://lasecwww.epfl.ch/%7Eoechslin/projects/ophcrack/ http://www.milw0rm.com/cracker/ (base de datos +rainbow tables) http://www.securitystats.com/tools/hashcrack.php http://www.csthis.com/md5/index.php http://www.xmd5.org/ http://us.md5.crysm.net/ http://nz.md5.crysm.net [...]