Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - Xyzed

#1
Desarrollo Web / Google ADS | ¿Iframes pagos?
16 Junio 2021, 08:39 AM
Hola.

Nunca me interesó mucho el asunto de poner publicidad en un sitio web a cambio de unos dólarillos, pero hoy me saltó la curiosidad acerca de una puntual pregunta;

Imaginando que tenemos un sitio (A), en el cual se encuentran las publicidades de Google, y un sitio (B) donde coloco unos iframes invisibles apuntando al sitio A.

¿Google considera esto como una visita real?, ¿o utiliza una simple validación rechazando las visitas con algo como: "Access-Control-Allow-Origin"?

Saludos.
#2
Hola.

Estuve informandome acerca del funcionamiento de LocalStorage, siempre me maneje más por el lado de las cookies y estoy obteniendo un error al intentar enviar mediante una webhook desde la consola un valor del mencionado almacenador de información;

Código (javascript) [Seleccionar]

function getLocalStoragePropertyDescriptor() {
  const iframe = document.createElement('iframe');
  document.head.append(iframe);
  const pd = Object.getOwnPropertyDescriptor(iframe.contentWindow, 'localStorage');
  iframe.remove();
  return pd;
}

Object.defineProperty(window, 'localStorage', getLocalStoragePropertyDescriptor());
const localStorage = getLocalStoragePropertyDescriptor().get.call(window);



La aplicación al iniciarse limpia y no permite de alguna forma acceder a LocalStorage, por lo tanto utilice esa función que encontré navegando para poder acceder al LocalStorage.

Para corroborar que la función mencionada este en correcto funcionamiento hice una simple impresión desde la consola con:

Código (javascript) [Seleccionar]

console.log(LocalStorage);


Esto devuelve lo buscado sin ningún problema, por lo tanto la función getLocalStoragePropertyDescriptor está bien.

Luego de eso, intente desde la misma consola poder enviar un webhook, esto funciona correctamente, pero al pasar el contenido de "LocalStorage" a una variable para ser enviado, recibo el error 404.
Este es el código;

Código (javascript) [Seleccionar]

function enviarhook() {
      var request = new XMLHttpRequest();
      request.open("POST", "direcciondelhook");

      request.setRequestHeader('Content-type', 'application/json');

      var msg = LocalStorage; //Linea que causa el error, msg es el contenido que sera enviado mediante POST al webhook. Si en vez de "LocalStorage" le atribuyo cualquier otro contenido, se envia correctamente, pero en cambio si esta tal cual lo presente aqui, recibo un error 400 "POST".

      var params = {
        content: msg
      }

      request.send(JSON.stringify(params));
    }


Quizás esto está prohibido por un tema de seguridad, pero puede ser que este empleando algo mal por lo tanto realizo el post aquí.

La pregunta es; ¿Cuál es el causante del error?

Saludos.
#3
Hola.

He visto desde hace rato varios sitios que contienen nombres extraños en sus identificadores/clases. Mucho más presente en las clases.

En vez de hacer algo como:

Código (html4strict) [Seleccionar]

<div class="principal">


Optan por proporcionarle a la clase un nombre tal como:

Código (html4strict) [Seleccionar]

<div class="yuRUbfQwsAs">


¿Esto lo hacen por alguna razón en especifico, o por qué?

Saludos.
#4
Hola.

Hace años que utilizó SMF, hoy me cruce en el foro con un post interesante:

Inicio de sesión SMF a través de hash de contraseña

En resumen se argumenta que es posible acceder a SMF mediante una contraseña hasheada (haciendo referencia a que gracias a esto, no sirve de nada el hash ante un posible robo de la base de datos).
Esto ya que mediante el método POST que utiliza el formulario de login lo que se hace es enviar la contraseña cifrada + la sesión ID.

Es decir:
Código (html4strict) [Seleccionar]

SHA1(hash + session_id)


Código (html4strict) [Seleccionar]

<form action="https://tuforo.ejemplo/index.php?action=login2" name="frmLogin" id="frmLogin" method="post" accept-charset="UTF-8" onsubmit="hashLoginPassword(this, 'add5f76205f957b650bb0a5aa71e6ccd');">
<!-- Viendo esto en el onsubmit-->


¿Es realmente es esto posible o entendí mal? Supuestamente está "solucionado" en 2.1.

Edit:
Código (javascript) [Seleccionar]

//Función mencionada encargada del hash que viene por defecto en SMF.
function hashLoginPassword(doForm, cur_session_id)
{
// Compatibility.
if (cur_session_id == null)
cur_session_id = smf_session_id;

if (typeof(hex_sha1) == 'undefined')
return;
// Are they using an email address?
if (doForm.user.value.indexOf('@') != -1)
return;

// Unless the browser is Opera, the password will not save properly.
if (!('opera' in window))
doForm.passwrd.autocomplete = 'off';

doForm.hash_passwrd.value = hex_sha1(hex_sha1(doForm.user.value.php_to8bit().php_strtolower() + doForm.passwrd.value.php_to8bit()) + cur_session_id);

// It looks nicer to fill it with asterisks, but Firefox will try to save that.
if (is_ff != -1)
doForm.passwrd.value = '';
else
doForm.passwrd.value = doForm.passwrd.value.replace(/./g, '*');
}




Saludos.
#5
Seguridad / Recomendación cifrado/hash.
28 Abril 2021, 04:12 AM
Hola.

Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

¿Cuál recomendarían/utilizarían ustedes?, ¿existe la necesidad de utilizar uno u otro según la circunstancia de uso que se le da?


Saludos.
#6
Foro Libre / Office gratis ¿?
16 Abril 2021, 06:31 AM
Hola.

Tengo Oficce 2016, la versión sin licencia en la cual te proveen unas semanas de prueba y luego te bloquean la total funcionalidad del paquete.
Hoy mismo estaba navegando y realizando unas operaciones en access y excel y dí con que había caducado el periodo de prueba, por lo tanto no me dejaba realizar ningún procedimiento de las apps (vencía hoy la licencia, por lo tanto, esa es la razón).

Un impulso me llevo a cambiar la fecha de mi ordenador y ejecutar de nuevo las aplicaciones y funcionaron perfectamente.
Es decir, simplemente con cambiar la fecha antes de iniciar algún programa del paquete (una vez iniciado puedes colocar la fecha actual) me funciona todo sin problemas.

¿Eso es un error o qué?, me da curiosidad que una multinacional tal como Microsoft tanga este tipo de "falla".

Saludos.
#7
Redes / Evitar sniffer en mi red.
12 Abril 2021, 06:19 AM
Hola.

Tengo una duda, algo que me preocupa realmente es tener algún usuario conectado a mi red que pueda sniffear el contenido.

¿Hay alguna manera de evitarlo?

Saludos.
#8
Hola.

Tengo dos notebooks, de las cuales una tiene problemas para conectarse al wifi (ordenador 1) y solo se conecta mediante una antena usb, y la otra funciona correctamente (ordenador 2).
Por lo visto falla la entrada usb por lo tanto, el ordenador que se conectaba mediante ese contacto a internet, no está funcionando.

Tengo varios cables ethernet por suerte, pero realmente, no me sirve conectar mi ordenador 1 directamente al modem.

¿Podría de alguna forma conectar el ordenador que falla a internet mediante una conexión desde la entrada ethernet del ordenador 1 al ordenador 2?, es decir: conectar una entrada de el cable ethernet en el ordenador 2 y la otra en el ordenador 1 para transmitir internet de esa forma.

Saludos.
#9
Desarrollo Web / ¿Recomendarían DJANGO?
9 Abril 2021, 06:27 AM
Hola.

Estoy por culminar una aplicación de escritorio que realice para un proyecto, y el siguiente paso es una aplicación web.
Se podría considerar un proyecto serio, por lo tanto necesitaría un lenguaje/framework que valga la pena realmente.

Dicho eso, consideré el framework Django de Python para realizar la aplicación web.
Tengo conocimiento en Python, ví algo de Django y no se me presento ninguna dificultad, entonces para evitar PHP, opte por dicho frame.
La gestión de la base de datos la haría mediante SQLite3.

Por lo tanto, necesitaría su consejo mediante la respuesta a la siguiente pregunta:
¿Pros y contras de Django?
#10
Seguridad / /phpmyadmin/ ¿Grave error?
6 Abril 2021, 06:27 AM
Hola,

varias veces me cruce con algún que otro sitio que utiliza phpMyAdmin como gestor para administrar MySQL, y que tenía dicho directorio a la vista y acceso de todos.
Es increíble realmente, la cantidad de sitios que poseen estas fallas sin tener la mínima noción de esto.

Debido a eso me surge una pregunta;
¿Además de la probabilidad de que realicen un ataque de fuerza bruta, o la afección que pueden tener por culpa del setup al alcance de cualquiera, hay algún otro riesgo que se corre?, ¿algún otro directorio al que no deberían tener acceso los usuarios sin privilegios?


Saludos.
#11
Seguridad / ¿VPN GRATUITO?
3 Abril 2021, 00:20 AM
Hola,

ProtonVPN dejo de ceder su servicio gratuito del cual muchos gozabamos, con acceso a distintas conexiones con gran variedad de paises, y lamentablemente no conozco muchos otros proovedores de protección que sean fiables.

¿Cuál recomiendan y por qué?
#12
WarZone / ¿Revivirán esto?
23 Marzo 2021, 05:01 AM
Hola
Estaría bueno que revivan el wargame, hay alguna posibilidad de que esto suceda?
#13
Hola a todos;

En esta ocasión vengo a consultarles una duda que me surge debido a que en repetidas oportunidades, al clickear sobre "Mostrar nuevas respuestas a tus mensajes." no me aparece ningúna notificación nueva, pero luego doy con que sí hay varias respuestas nuevas a posts donde he comentado.

¿Está funcionando mal el sistema?, me paso varias veces como mencione, la última fue hoy.
El día de ayer realice un comentario en un post en la sección scripting; hoy clickee sobre el hípervinculo mencionado y no me apareció ninguna notificación, pero al acceder a dicha publicación aparecía una nueva respuesta.

Saludos.
#14
Programación General / ¿Java o C#?
4 Marzo 2021, 01:51 AM
Qué tal;

Tengo una duda, estoy interesado en profundizar mis conocimientos y estoy entre continuar con Java (se lo básico) o comenzar de 0 con C#.

¿Cuál me conviene y por qué?

Gracias por su respuesta de antemano  :D
#15
Acabo de acceder a mi cuenta como normalmente lo hago y clickee sobre "Mostrar todos lso mensajes no leídos desde la última visita" y para sorpresa mia, no me aparecía ninguno.
Estos 100% seguro que no marque en "marcar leídos".
Qué extraño, ¿a alguien más le sucedio?
#16
Hola a todos.
Tengo una duda, hace rato que cada archivo que subo a mediafire, al descargarlo se destaca como virus/archivo peligroso. No entiendo el por qué.
Quizás algo como:
Código (python) [Seleccionar]

import time
print("hola")
time.sleep(5)
print("chau")

Es detectado como archivo riesgoso para el ordenador.
Esto me paso subiendo archivos py, y también algunos compilados, exe.

Actualmente estoy desarrollando una aplicación en Python, que es una interfaz gráfica con varias funciones y librerías (tkinter, dhooks, entre varias más).
Me surge el miedo de que luego sea detectado como archivo peligroso cuando largue a la luz esto.
¿Hay alguna manera de registrar el archivo en internet y así e vitar estos falsos positivos?, ¿comprar una licencia o algo similar?
Agradecería su comentario e información.
#17
Hola.
Tengo una duda, ¿es posible generar un ejecutable mediante un script de Python?
Un ejemplo simple de lo que quiero realizar para que se den una idea, lo puedo dar mediante el siguiente código.
Código (python) [Seleccionar]

file = open("C:/Users/"+pc+"/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/archivo.pyw", "w") ## aca "taskeng.pyw" crea el archivo con ese nombre y extension de archivo "pyw".
a = "hola" ##defino variable simple para pasarla como valor a escribir, en mi codigo original tengo muchas variables/funciones
file.write(a) ## escribo en el archivo creado el valor de la variable "a".

En mi caso, lo que querría hacer es generar en vez del "pyw" un "exe". Directamente desde un script python, sin tener que ejecutar por ejemplo pyinstaller desde la consola.
#18
Scripting / Suprimir salto de línea.
14 Febrero 2021, 09:38 AM
Hola, estoy realizando un programa que escribirá un archivo python mediante la librería OS.
Este archivo escrito lo que hará es enviar un hook a discord, el cual es recibido en la aplicación mostrando así un mensaje.
Tengo un problema con los saltos de línea al escribir el nuevo archivo.
Probé lo siguiente, qué es lo que quiero escribir en el nuevo archivo.
Código (python) [Seleccionar]

arer = "hook.send('```css\nEjecutado!\nDato:\n.Nombre del usuario.```')"
file.write(arer)

Prácticamente lo que yo quiero es que en el archivo creado se escriba lo siguiente, evitando la ejecución de los saltos de línea:
Código (python) [Seleccionar]

hook.send('```css\nEjecutado!\nDato:\n.Nombre del usuario.```')

Pero lo que sucede es que se escribe de la siguiente forma:
Código (python) [Seleccionar]

  hook.send('```css
Ejecutado!
Dato:
.Nombre del usuario.```')

¿Cómo podría hacer para que el interprete evite esos saltos de línea al crear el nuevo archivo, pero los conserve para la ejecución posteriormente?
#19
Nivel Web / 5 inputs/32 carácteres.
10 Febrero 2021, 19:45 PM
Hola a todos, se me presento una situación media extraña.
Imagínense que tienen 5 inputs a su merced, cada uno tiene una única validación, la cual es que puedes introducir solamente 32 carácteres (validado tanto del lado del servidor como del cliente, no se puede bypassear). Después, no hay ninguna validación en cuanto a los carácteres que introduzcas, por lo tanto, es completamente vulnerable (aunque los 32 carácteres limitan muchísimo).
Los inputs vendrían a ser algo así:
Código (html4strict) [Seleccionar]

<form action="" method="post">
<input type="text" name="32" maxlength="32">
<input type="submit">
</form>

En cuanto a la breve validación e impresión del código, está hecho en php y me lo imagino algo así:
Código (php) [Seleccionar]

<?php
$recibido 
$_POST['32'];
$validacion strlen($recibido);
if (
$validacion 33) {
 echo 
$recibido;
} else { echo 
'<script>alert("Excediste los 32 caracteres.")</script>';
}
?>


Como ven, el código es completamente vulnerable, pero la limitación es bastante molesta.
¿Qué harían ustedes en un caso como este?, ¿qué probarían?, ¿qué vulnerabilidades explotarían?
#20
Software / Taskeng.exe ¿?
5 Febrero 2021, 04:01 AM
Hola, todos los días 00:00 AM se me abre una shell con el nombre de taskeng.exe diciendo que se están terminando de instalar los componentes de MYSQL.
¿Por qué sucede esto si lo tengo correctamente instalado hace rato?
¿Puede ser algún tipo de virus?
#21
Dudas Generales / Tokens vs Cookies.
4 Febrero 2021, 19:05 PM
Hola a todos, quería que me esclarezcan, si es posible, cuales son las diferencias entre las cookies y las tokens. Ambas sirven para determinar una sesión, ¿pero por qué existen cada una?
#23
Dudas Generales / ¿VPN Ecuador?
17 Enero 2021, 06:24 AM
Estoy necesitando un VPN que contenga direcciones IP de Ecuador.
Utilice varios proxys, pero no me funcionan para lo que necesito hacer, por lo tanto, agradecería sus aportes en los comentarios, gracias.
#24
Foro Libre / ¿"AMIGOS"?
5 Enero 2021, 23:29 PM
Quiero saber que opinan los demás sobre este tipo de amistades...
No hablo de los amigos que sabes que siempre van a estar, con los que te juntas en donde sea y a hacer lo que sea.
Hablo de esos con los que simplemente te juntas para consumir algo, con los que si sos un consumidor habitual tenes una relación persistente...
Me dí cuenta que una vez que te alejas de la sustancia, esa gente se borra completamente. Simplemente te hacen perder el tiempo y vida.
Quiero escuchar sus experiencias con amistades de este tipo. Desde ya les aconsejo alejarse de estos personajes, son los peores, te hacen sentir impotencia, de un minuto a otro cambian completamente.
#25
Foro Libre / ¿Qué paso con "Netzeek"?
5 Enero 2021, 01:14 AM
Husmeando por ahí, me enteré que hace años ataco este mismo foro con neptuno.
La historia de neptuno la conozco bastante, pero ¿qué paso con netzeek?
#26
Hola a todos.
Estoy intentando desarrollar en python con "requests" un programa para loguearme en un sitio web automáticamente, enviando las peticiones post para cargar los datos correctamente en el sitio.
Esto es lo que tengo por ahora:
Código (python) [Seleccionar]
import requests
r = requests.get('http://x/ingresar.php')
params = {'username':'Roberto', 'password':'pw123'}
response = requests.post('http://x/ingresar.php', data = params)
print(r.text)

Yo lo que busco es que luego de correr el programa, al actualizar la página, se haya logueado en la misma con los datos cargados en el código py... Pero no sucede esto.
Ya utilice webbot y me funciona correctamente, pero lo que busco actualmente es lograr lo que busco con REQUESTS, no con otra lib.
Espero que puedan ayudarme, gracias por su comentario  :rolleyes:
#27
Hola a todos los lectores.
Hace unos meses (o casi un año) en un sitio web con una vulnerabilidad xss, pude obtener las cookies de algunos usuarios y asimismo hablar con el webmaster del sitio, que era de un amigo, para validar tanto del lado del cliente como del servidor la vulne.
¿A que se refiere el "cifrado" que tiene https y que lo hace más "seguro" con respecto a http?, siempre se considero un "riesgo" tener una web con el protocolo http, ¿eso quiere decir que teniendo un sitio web sin certificado SSL/TSL estoy bajo un riesgo SI O SI?
#28
Hola a todos los lectores de este post.
Tengo una duda que me surge debido a que estoy intentando tirarme más para algún lenguaje en especifico y la verdad que no tengo idea por cual optar :rolleyes:.
Varios conocidos que están con muchos años más de experiencia que yo me recomendaron elegir ".net" o "java" debido a que supuestamente estos son los dos más demandados en el ámbito informático.
También me dijeron que entender completamente API REST y POO será necesario debido a  que esto "es el futuro". ¿Qué tanta razón tienen?, ¿qué me recomendarían ustedes en su lugar?
Saludos y gracias por su respuesta  ;D
#29
Hola a todos ;D
Tengo un foro en SMF 2.0.17 e investigando aprendí una forma de "ataque" que sirve para averiguar la dirección ip de un usuario en un foro mediante una imagen. Esto funciona acomodando con htaccess una imagen para que lea código php al ser visualizada.
Esto lo logre con la siguiente sentencia en .htaccess:

Código (php) [Seleccionar]
RewriteEngine on
RewriteRule imagen.png archivo.php [NC]

Después de eso simplemente en el foro deberías colocar el link de la imagen en un posteo o enviarlo por mensaje privado y gracias al htaccess, la "imagen", leerá el php (programado con posterioridad para recibir la ip y enviarla a un txt o un update mysql) y obtendrías la dirección ip del receptor.
Luego de poder comprobar que esto funcionaba, me puse a intentar realizar varias cosas más, como un robo de cookies mediante la misma imagen con js o php + htaccess. Pero lamentablemente no pude lograr obtener lo que intentaba, simplemente el archivo me seguía devolviendo únicamente la dirección IP.
¿Hay alguna forma de poder obtener las cookies de sesión mediante dicha imagen "pre-programada"?.
O por otra parte, ¿hay alguna forma de recibir una cookie de otro dominio en el mio?
Son simplemente dudas que tengo sobre el tema y me parece bastante interesante averiguarlo.
Espero su respuesta, ¡saludos!
#30
Tengo 200 archivos de una aplicación web que desarrolle y necesito encriptarlos/ofuscarlos a todos. La mayoria incluye código html/js ¿alguna idea? lo necesito lo antes posible. No tengo mucho tiempo la verdad...
#31
PHP / solved.
21 Noviembre 2019, 03:13 AM
solved.
#32
Hacking / bla, bla, bla...
8 Octubre 2017, 04:35 AM
bla, bla, bla...