Temas

Hola a todos, tengo en mente un proyecto que podría ser interesante si llegara a buen termino, la cuestión es que yo suelo desarrollar webs a base de bloc de notas y picar código, y así uno no evoluciona. Por eso que he decidido empezar a utilizar frameworks de desarrollo web, la cuestión es cual elegir para mi proyecto, ¿En que debería basarme para elegir uno u otro? ¿Cuales son los más importantes? ¿Qué debería saber antes de iniciarme en un framewrok? ¿Algún consejo general para el uso de frameworks?
frameworks
Un saludo y muchísimas gracias.

Hola estoy empezando a volverme loco, alguien podría decirme que hay mal en este formulario HTML. Estoy haciendo unas pruebas y me estoy desesperando.

Decir que ambos archivos están en el mismo directorio, i el xss.php es accesible i se ejecuta correctamente, pero no hay manera con el formulario.

Código (html4strict) [Seleccionar] Expandir


<html>
<head>
<title>Esto es una prueba de concepto.</title>
</head>
<body>
<h1 style="text-algin:center;">Esto es una prueba de XSS</h1>
<form action="xss.php" method="get">
Nombre: <input type="text" name="v" /> <input type="button" value="Enviar" />
</form>
</body>
</html>


Gracias.

[No se esperaba | en este momento.]

Hola estoy haciendo un pequeño script en batch y no se como hacer un IF con varias combinaciones lógicas.

Lo que estoy haciendo es lo siguiente:

Código (bash) [Seleccionar] Expandir


if "%%~xx" == ".xls" | "%%~xx" == ".xlsx" | "%%~xx" == ".doc" | "%%~xx" == ".docx"  | "%%~xx" == ".pdf"  | "%%~xx" == ".mdb"  | "%%~xx" == ".accdb"


Pero me da error diciendo: No se esperaba | en este momento.

También he probado de este otro modo:

Código (bash) [Seleccionar] Expandir


if "%%~xx" == ".xls" or "%%~xx" == ".xlsx" or "%%~xx" == ".doc" or "%%~xx" == ".docx"  or "%%~xx" == ".pdf"  or "%%~xx" == ".mdb"  or "%%~xx" == ".accdb"


Pero siempre se cumple el IF cuando y en algunas ocasiones no debería de cumplisrse, así que tampoco funciona bien.

Alguna solución que no sea una cadena de if - else - if

NOTA: el IF está dentro de un FOR y la variable del FOR es x.

Un saludo y gracias.

Hola, estoy haciendo una petición a  MySQL con la siguiente query:

Código (sql) [Seleccionar] Expandir

SELECT * FROM usuarios WHERE Email LIKE 'email@email.com' AND LIKE '81dc9bdb52d04dc20036dbd8313ed055'; y me dice que tengo un error en la parte del where, pero no veo el fallo, me podrías echar un cable.


Saludos.

Hola me surge una duda sobre XSS, cuando hay un bug xss que no es persistente, o sea que solo afecta si introduces cierta información en el buscador interno de la web, por ejemplo. La única manera que se me ocurre de explotarlo para obtener información de otros usuarios es por ejemplo enviar un mail con la dirección modificada a algún usuario y al pinchar se les ejecutará el xss, eso si la petición en el buscador se hace por  GET, pero si se hace por POST, ¿cómo se podría explotar? o no se podría simplemente. ¿Seria este un posible procedimiento para explotar xss no persistentes?

Saludos.

Hola, he encontrado esta expresión regular para validar direcciones de correos electrónicos por la web, pero creo que no validaría bien todos los correos electrónicos.

Original:

Código [Seleccionar] Expandir

'/^[^0-9][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/'

Creo que así funcionaría mejor, ¿qué decís?
Corregido:

Código [Seleccionar] Expandir

'/^[^0-9][a-zA-Z0-9_]+([.][-][a-zA-Z0-9_]+)*[@][a-zA-Z0-9_]+([.][-][a-zA-Z0-9_]+)*[.][a-zA-Z]{2,4}$/'

NOTA: fijaos que he añadido [-] después de [.], es que no se como remarcarlo para que se vea claro.

Hola, estoy intentado mostrar una imagen  desde un php y no lo consigo, en cambio tengo otro php que si que lo hace bien y no veo el fallo a ver si me podéis ayudar. La imagen esta guardada el mysql en un campo de tipo longblob. pongo los códigos.

Código PHP que muestra la imagen:

Código (php) [Seleccionar] Expandir

<?php

include_once 'conexion.class.php';

$q = "SELECT Imagen, TipoImg FROM vB_productos WHERE CodProducto = " . $_GET['id'] . ";";

$result = $sql->Query($q);
$row = $sql->Fetch_assoc($result)

header("Content-type: image/" . $row['TipoImg']); 
echo $row['Imagen'];

?>

El html:

Código (html4strict) [Seleccionar] Expandir

<img src="php/imagen.php?id=1" title="Imagen de prueba">

Un saludo.

[Hotel LIKE '%$input%']

Hola, iba hacer una búsqueda de hoteles en una web y descrubri que el formulario de búsqueda de hoteles es vulnerable a la inyección sql, la cuestión es que la bbdd esta sobre access y ahí es donde tengo el problema, porque según he leído access no posee comentarios, así que no puedo intercalar código sql, ahora les expongo como esta cosa.

La consulta se hace de la siguiente manera.

Hotel LIKE '%$input%'

Suponiendo que el $input es la entrada desde el formulario directamente sin filtrar, ¿como puedo hacer desaparecer %'? ya que para cerrar el like si que puedo pero si hago un having o una subconsulta el %' me toca los ...
He probado por si las moscas pero sin exito, //, /*, #, --, null y nada no consigo cortar ahí la sentencia sql, ¿alguien sabría como?

Saludos.

[Formulario html]

Buenas, estoy haciendo una pequeña web que carga unas imágenes en la bbdd y después las recupera, hasta ahí todo correcto, el problema viene cuando quiero insertar las imágenes, me he hecho un formulario con su php para cargar las imágenes a la bbdd pero después a la hora de mostrarlas no salen y si miro en phpMyAdmin si que aparecen, pero lo más curioso es que si inserto las imágenes desde phpMyAdmin si que las puedo leer bien desde la bbdd y mostrarlas bien, bueno en realidad de tres imágenes por fila solo muestra 2 bien pero eso será otro error diferente que habrá que corregir. Añado los scripts para que lo veáis y juzguéis.

Formulario html

Código (html4strict) [Seleccionar] Expandir


<html>
<body>
<h2>Sistema de actualizaci&oacute;n</h2>
<form enctype="multipart/form-data" method="post" action="upload.php">
<p>Imagen Full (Grande 1000x750):<input type="file" name="full"></p>
<p>Imagen medium (Mediana 500x375):<input type="file" name="medium"></p>
<p>Imagen Small (Peque&ntilde;a 100x75):<input type="file" name="small"></p>
<p>TITULO: <textarea name="titulo" rows="2" cols="50"></textarea></p>
<p>DESCRIPCI&Oacute;N: <textarea name="descripcion" rows="5" cols="50"></textarea></p>
<p><input type="submit" name="send" value="Enviar"></p>
</form>
</body>
</html>


Script que procesa el forulario

Código (php) [Seleccionar] Expandir


<?php
require_once 'bd.php';

function leer_fichero($name){
$fp = fopen ($name, 'r');
if ($fp){
$datos = fread ($fp, filesize ($name)); // cargo la imagen
$datos = addslashes($datos);
}
fclose($fp);
return $datos;
}

function insertar($imagen_full_bin, $imagen_medium_bin, $imagen_small_bin, $titulo, $descripcion){
$sql = "INSERT INTO archivos (id, img_full, img_medium, img_small, titulo, descripcion) VALUES ('', '$imagen_full_bin', '$imagen_medium_bin', '$imagen_small_bin', '$titulo', '$descripcion')";
mysql_query($sql) or die("No se pudo insertar los datos en la base de datos.");
}
// Comienza el script

$img_full = $_FILES['full']['tmp_name'];
$img_medium = $_FILES['medium']['tmp_name'];
$img_small = $_FILES['small']['tmp_name'];

$imagen_full_bin = leer_fichero($img_full);
$imagen_medium_bin = leer_fichero($img_medium);
$imagen_small_bin = leer_fichero($img_small);

$titulo = $_POST['titulo'];
$descripcion = $_POST['descripcion'];

insertar($imagen_full_bin, $imagen_medium_bin, $imagen_small_bin, $titulo, $descripcion);
header("Location: upload.html");  // si ha ido todo bien
?>



Script que muestra las imágenes

Código (php) [Seleccionar] Expandir


<?php

require_once 'bd.php';

$id = (isset($_GET['id']) ? $_GET['id'] : exit());
$tam = (isset($_GET['tam']) ? $_GET['tam'] : exit());

switch($tam){
case "full":
$sql = "SELECT img_full FROM archivos WHERE id = $id";
list($img)=mysql_fetch_row(mysql_query($sql));
header("Content-type: image/jpg");
echo $img;
break;
case "medium":
$sql = "SELECT img_medium FROM archivos WHERE id = $id";
list($img)=mysql_fetch_row(mysql_query($sql));
header("Content-type: image/jpg");
echo $img;
break;
case "small":
$sql = "SELECT img_small FROM archivos WHERE id = $id";
list($img)=mysql_fetch_row(mysql_query($sql));
header("Content-type: image/jpg");
echo $img;
break;
}

?>


Tabla de MySql

Código (sql) [Seleccionar] Expandir


CREATE TABLE IF NOT EXISTS `archivos` (
  `id` int NOT NULL auto_increment,
  `img_full` longblob NOT NULL,
  `img_medium` longblob NOT NULL,
  `img_small` longblob NOT NULL,
  `titulo` varchar(50) collate utf8_spanish_ci NOT NULL,
  `descripcion` varchar(100) collate utf8_spanish_ci NOT NULL,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 COLLATE=utf8_spanish_ci;


Hola, estoy haciendo una web modular, y tengo un problema, resulta que en uno de los módulos hay un formulario, el cual debe llamar a otro modulo el cual valida e interactua con los datos del formulario, el problema viene cuando envío el formulario que no coge los datos del formulario, pongo los códigos para que se vea más claro.

Código (html4strict) [Seleccionar] Expandir


<!-- Formulario >
<form action="?cat=email" method="post" enctype="text/plain">
    <label for="nombre">Nombre:</label>
    <input type="text" name="nombre" size="30" maxlength="100">
</form>


Código (php) [Seleccionar] Expandir


/* Moudulo email.php */
$nombre=$_POST['nombre'];
echo $nombre;


Código (php) [Seleccionar] Expandir


/* index.php asi se cargan los modulos */

if (!empty( $_GET ['cat']))
  $modulo  =  $_GET ['cat'];
else
  $modulo  =  MODULO_DEFECTO ;

$path_modulo=MODULO_PATH . '/' . $conf[$modulo]['archivo'];

if(file_exists($path_modulo))
  include($path_modulo);


Como lo puedo hacer para que el email.php coja los valores del formulario.


Un saludo, y si hace falta algún dato más pidan lo.

Hola, alguien sabe la dirección de email de atención al cliente de google, es que cada vez que busco algo cuando voy a pasar de la pagina 11 me dice que mi sistema puede tener un software malicioso, a parte de que no es cierto, se que lo hacen para que no les hagan un DOS, pero, el problema ya persiste unos cuantos días y estoy un poco hasta donde ya saben, lo he buscado por su web pero no lo he encontrado, si quieres me lo pueden mandar con un PM.

Un saludo

Hola, haber como lo explico.... He encontrado una web que creo que es posible hacerle un RFI, y yo para practicar me he echo un pequeño script, ahora bien, a la variable afectada le paso la dirección para que use mi script y al recargar la pagina me muestra el código de mi script, osea que el archivo lo lee bien, pero el php no lo lee como php, así que no lo ejecuta ¿que puedo hacer? porque si lo renombro a la extensión .php lo ejecutara en mi server.

Un saludo

Buenas pues se me ha pasado por la cabeza que se podria hacer un sub foro en la sección de hack sobre lockpicking ya que el lockpicking tambien se considera como hack.

Un saludo.

Definicion: http://en.wikipedia.org/wiki/Lock_picking

Bueno he encontrado una web con este tipo de bug, he mirado en wikipedia pero no da mucha info, mas bien dice que es una variante del XSS pero no se aplica al html sino al server atrabes de los parametros de debug, y aqui en el foro tampoco es que vayamos sobrados, solo he encontrado un post referente a XST en 9000 dias de busqueda.
Alguien sabe algo de este tipo de bug?, o poner algun ejemplillo basico para captar la idea,  yo he encontrado este pdf http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf y voy ha empezar a leerlo ya que esta en ingles y me cuesta un poco, y atodo esto ¿porque hay tan poca info sobre este bug?

Bueno ya direis algo un saludo.

EDITO
Un codigo que he encontrado por el web.

Código [Seleccionar] Expandir


  TRACE / HTTP/1.1
    Accept: */*
    Accept-Language: en-US
    UA-CPU: x86
    Accept-Encoding: gzip, deflate
    If-Modified-Since: Tue, 22 Mar 2005 16:06:25 GMT
    If-None-Match: "dd2e7-2c8-42404281"
    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; Media Center PC 5.0; InfoPath.2)
    Host: www.schroepl.net
    Trace: <script>alert(1)</script>
    Proxy-Connection: Keep-Alive
    Pragma: no-cache


EDITO 2:
Con el codigo de arriba junto con el nc he podido ejecutar el script, basicamente lo que faltaria seria como poder aprobecharlo para obtener cookies.

Buenas miren hago una consulta (en local) para crear una tabla y añadir una fila. Pues si ejecuto la consulta en phpmyadmin funciona correctamente sin ningun problema, pero si la ejecuto desde php no me da ningun error pero no crea la tabla, la consulta la leo desde un fichero, alguien sabe de que puede ser?

Código (php) [Seleccionar] Expandir


$id_mysql = mysql_connect($serverbd, $userbd, $passbd);
mysql_select_db($namebd);
$sql_file = file('sql.txt');
$sql = "";
foreach ($sql_file as $linea)
      $sql .= $linea;

$result = mysql_query($sql);
mysql_close($id_mysql);


Hola, quiero hacer un sniffer para escanear las mac's de los cable modems, y tengo un par de preguntillas, ¿lo puedo hacer con VB? ¿sobre que me debo documentar?

Gracias.

Hola, he tratado de buscar este control en la lista que hay en VB pero no lo encuentro, me refiero al que hace que salgan coluimnas con titulo, alguin sabe como se llama?

Gracias.