Mensajes

[web para marketing]

Si se trata de la pagina de reseller sie-etc.net solo decirte que no queda demasiado bien tener imagenes alojadas en tinypic. Un reseller por lo menos debe de ser capaz de alojar sus propias imágenes en su servidor.

Creo que esto esta mejor en hacking, si prefieres ponerlo en desarrollo web comentalo aquí.

Hermano mencione: "Tengo una plataforma web para marketing", esto no tiene que ver con la URL de la empresa sie-group.net, esa no es una plataforma es una web de presentacion.

Y sobre las imagenes alojadas en tinypic, pues gracias por recordarme que estaban hay , porque acostumbramos usar ese sistema, solo que una vez que equivocadamente subimos una imagen que contenia la palabra PHP en mayusculas, noa bannearon la cuenta :S, sin razon alguna ni decir porque :S, y vaya que era una imagen fidedigna. Y respecto al web hosting, es reselling, prefiero consumir el servicio tinypic.

Y gracias por el consejo, vere si consumo mis recursos para almacenar mis PICs aunque no me agrade la idea xD, ya que tinypic da buen servicio.

http://lab.sie-group.net/admin  -> poco imaginativos con el nombre, no parece que haya filtro bruteforce

Ese dato es interesante, pero lastima que andas husmeando en el sitio incorrecto, la plataforma web de marketing no es mi blog.

Respecto a que no existe un filtro para el bruteforcing, es porque usamos un CMS propio y existen cosas por pulir, ya que hemos estado mas ocupados con los clientes que con lo nuestro .

Gracias por el dato... (por cierto, comparte la información a todos)

WHK

Se da una compensación, pero no es gratis.

opportunity
Claro, tomaremos en cuenta tu interes, sigue pendiente aqui !

=== YA HE COLOCADO LAS BASES Y PREMIOS EN EL PRIMER POST ===

[WINE]

jajajajaja men que perdido andas...

Para correr aplicaciones utiliza WINE.

PlayonLinux y Cedega son para Juegos, aunque WINE tambien se defiende bien, pero weno, ya sabes !

[quiero estandarizar todas mis plataformas webs]

Buenas.

Tengo un servidor dedicado en la nube el cual le configure el Servidor DNS y no habia tenido ningun problema cuando lo usaba con otras redes, me resolvia bien todo. Aparte tambien monte Apache+MySQL+PHP y tengo espacios de hosting para algunas cosas, asi que tambien re-configure el DNS para que se pudiera acceder al hosting por su sub-sibdominio.

Me di cuenta del este problema porque quiero estandarizar todas mis plataformas webs, ya que actualmente para mis plataformas web y mis blogs utilizo una base de datos independiente, donde cada una tiene sus propias tablas TIPICAS, como: Usuarios. Y con la finalidad de estandarizar las cuentas de mis usuarios y que no tengan que registrarse en cada uno de mis portales, pense en mejor centralizar un sitio de logeo, de forma que, cada vez que alguien se registre en alguno de mis portales, el registro se realizo contra mi servidor deciado, al cual le abriria una sub-dominio denominado: http://login.miservidor.com.

Mi primer paso fue ir al Account Manager de GoDaddy, ya que mis Blogs los manejo con GoDaddy, y solo mis plataformas webs las manejo con mi Servidor Dedicado (por las limitaciones que ofrece GoDaddy), en fin, edite cada una de las Zonas de los dominos de mis Blogs y le agregue una nueva regla donde invico que el sub-domonio "login" lo lance a: http://login.miservidor.com, y ademas en la parte de DNSs agregue las IPs de mi dns del servidor.com.

Pero malas noticias .... Cuando hago esto: login.blogX.com me lanza a blog.miservidor.com, en vez de ir a login.miservidor.com, no entiendo la razon porque :S, si ya verifique y efectivamente estoy escribiendo bien en las Reglas de zonas del dominio (en GoDaddy Account Manager), el dominio: login.miservidor.com.

Hasta este punto mi servidor dedicado esta asi:

Servidor Dedicado
OJO: no uso las IPs reales, para proteger mi servidor de los bots y personas maliciosas.
dominio: miservidor.com
ip1: 10.10.10.5 (ip directa)  --> miservidor.com
ip2: 10.10.10.6 (servidor de nombres 1) --> ns1.miservidor.com
ip3: 10.10.10.7 (servidor de nombres 2) --> ns2.miservidor.com

La configuracion del Servidor Dedicado tiene el hostname de: server, de modo que el servidor se llama (localmente): server.miservidor.com.

La configuracion de Zonas Externa:

Podran apreciar los sub-dominios de:

- ns1.miservidor.com
- ns2.miservidor.com
- server.miservidor.com
- www.miservidor.com
- mail.miservidor.com
- login.miservidor.com <-- el que me interesa
- blog.miservidor.com
- db.miservidor.com
- git.miservidor.com

# cat /var/named/external/db.miservidor.com

Código (bash) [Seleccionar] Expandir

$TTL 604800
@ IN SOA ns1.miservidor.com. server.miservidor.com. (
2010080301 ; serial
604800 ; refresh
86400 ; retry
2419200 ; expire
604800 ) ; negative cache ttl
;
@ IN NS ns1
IN MX 10 server
IN A 10.10.10.5
ns1 IN A 10.10.10.6
ns2 IN A 10.10.10.7
mail IN A 10.10.10.5
server IN A 10.10.10.5
www IN A 10.10.10.5
login IN A 10.10.10.5 ; Login Sistema
blog IN A 10.10.10.5 ; mi blog personal
git IN A 10.10.10.5 ; Git Server
db IN A 10.10.10.5 ; MySQL Databases

Las Reglas de Zonas Recursivas:

# cat /var/named/db.10.10.10.5

Código (bash) [Seleccionar] Expandir

$TTL 604800
@ IN SOA miservidor.com. server.miservidor.com. (
1 ; serial
8H ; refresh
2H ; retry
4W ; expire
1D ) ; minimum ttl
;
@ IN NS miservidor.com
5 IN PTR miservidor.com
5 IN PTR www
5 IN PTR server
5 IN PTR mail
6 IN PTR ns1
7 IN PTR ns2
5 IN PTR login ; Login Registro de usuario
5 IN PTR blog ; mi Blog
5 IN PTR db ; MySQL
5 IN PTR git ; GIT


Si escribo directamente en el navegador la URL: http://login.miservidor.com sale perfectamente una pagina en Blanco (que hice de prueba) y dice: Pagina de LOGIN.

Pero cuando escribo en el navegador la URL: http://login.blogx.com que se supone me debe re-dirigir a http://login.miservidor.com, me envia a: http://blog.miservidor.com.

Espero puedan ayudarme !!

Saludos !

[confirmar]

Buenas.

Tengo una plataforma web para marketing que quiero lanzar, pero antes de invertir en publicidad local, google y blogs, quiero primero confirmar mis expectativas de que la aplicación es segura.

Se invita a todo aquel con conocimientos de seguridad informática, técnicas de pen-test a que realicen una prueba de Hacking-Etico de tipo: BlackBox o GrayBox. Elegir entre Gray y Black ya es un gusto personal del interesado a participar.

Las Bases son:

1- Tener conocimientos en el tema y saberlos aplicar, esto no es para "aprender" o decir "yo le entro, pero no se sobre seguridad".
2- Ser ético y no revelar la información sino hasta después de haber pulido el error, ya pueden publicarlo en el Blog, etc... y con gusto también nosotros hacemos mención sobre su consultoría en nuestro blog.
3- Las pruebas de Hacking Etico (Pen-Test) se llevaran acabo el Viernes 4 de Febrero 2011, solo y únicamente ese día.
4- Se debe presentar un escrito sobre los fallos, detallando como se obtiene el error, una hipótesis del porque fue el fallo y recomendación de solución. No existe un limite máximo o mínimo de la dimensión del escrito.
5- El escrito debe ser en Arial 12, debe también llevar su nombre e e-mail y nacionalidad.
6- La recepción de los documentos resultantes serán del Sábado 5 Febrero al Lunes 7 Febrero.
7- Se hará un conteo de las vulnerabilidades encontradas y se elegirá de 1 hasta 3 ganadores, si existiesen casos donde cada uno encontrase vulnerabilidades que los otros no encontraron.
8- Se emitirán resultados finales trascurridos 3 días de la entrega de documentos, seria: Jueves 10 Febrero 2011.
9- Si los ganadores (o el ganador) así lo decide, podemos hacer publico el documento resultante de las vulnerabilidades (para que la comunidad siga aprendiendo).
10- Se hará mención publica mediante el Blog de nosotros y en este foro de los datos del ganador, este puede decidir si mencionar su nombre y nacionalidad o solamente su nickname.
11- El premio se hará entrega el día: Lunes 14 de Febrero.

La dirección del sitio que se pretender poner a prueba es:

----> http://www.turundus.net <----

El premio es:

- 12 meses de hosting gratuito.
- Cuenta para publicación en nuestro Blog.
- 1 Espacio para colocar banner en nuestro blog.
- 12 meses de publicidad en Turundus.

Los Pasos a Seguir son:

1- Posteas o comentas que estas interesado.
2- Envías por privado tu e-mail y que prueba quieres hacer, la de GrayBox o BlackBox.
3- El Viernes 4 de Febrero 2011 (fecha que inicia el hacking ético) se enviara el pb[documento PDF[/b] para el tipo de prueba que hayas elegido.
4- Hacer tu entrega como se mencionan las Bases.
5- Se entregan los ganadores, menciones y FIN.

LOS QUE QUIERAN ENTRARLE solo sigan los pasos mencionados... Las bases estarán abiertas hasta el Jueves 3 de Febrero del 2011.

Saludos !



==== NUEVA EDICION ===

Solo queda un dia, apurate en apuntarte.... Para ma~ana los que se alcanzaran a apuntar ya fueron los unicos, porque les estaremos enviando la documentacion para el tipo de Hacking Etico que elijieron, si se desidieron por BlackBox o GrayBox, entonces por defecto se les enviara la informacion para la BlackBox.

Paso a describir ambos tipo de Hacking Etico:

GrayBox
Consiste en que el auditado (turundus.net) proporcionara informacion de las variables, detalles de programacion, partes escenciales del sistema, campos en bases de datos, restricciones que tiene el sistema y dos cuentas de usuarios... Una cuenta del tipo 'usuario' y otra del tipo 'soporte', y se detallan mas cosas.
La finalidad es que esta informacion se use para vulnerar el sitio o poner en riesgo la informacion.

BlackBox
No se proporciona informacion alguna, mas el dominio web (turundus.net), el auditor debera buscar por sus propios medios como vulnerar el sitio.
En particular nosotros proporcionaremos solo informacion del sistema de registro, login y autentificacion de productos/servicios (lo que ofrecera el sitio).

Animo !

[hr

>>> Lista de Participantes <<<

- opportunity
- Sagrini
- SnakingMax

[misitio.com/?id=variable&op=operacion&otravar=otrodato]

Simepre que codifico una aplicacion utilizo las tipicas variables y forma de procesar tipico, por ejemplo:

?id=enviar
?id=Xcosa
?id=NUMOER&op=registro

Vaya en la barra de navegacion se ve el tipico: misitio.com/?id=variable&op=operacion&otravar=otrodato y asi puede ir creciendo el URL...

Pero he notado que otros sitios no muestras las varaibles y muestran algo asi: http://misitio.com/guardar/registro, donde a simple vista podria decir utilizan directorios multiples con codig en cada directorio ?, o por ejemplo, en Blogs cuando haces clic en un tag, la URL cambia a misitios.com/tag/COSA.

La verdad no se por donde empezar a buscar, y pues si tienen algun tip o enlace que explique esta forma de hacer webs se agradece !.

--- EDITADO ----

Tambien he visto por ejemplo el SMF (software para foros web), te permite elegir como se ve la URL, puedes elegir que la URL a tus temas se vean asi: miforo.com/?post=NUMERO o asi miforo.com/nombre-del-post-a-leer/.

Saludos !

[fallar es el objetivo]

Yo creo que el Gusano mas famoso y perfecto, es Microsoft Windows, ese si no falla.... bueno, asumiendo que fallar es el objetivo !... jajajaja

Stuxnet no es mejor, Windows es el mejor jajajaja

Hola a todos,

A ver si a alguien le ha pasado esto... El tema es que me dispongo a hacer un simple formulario de autentificación y comparo los datos con MySql no coinciden, despues de varias comprobaciones resulta que el formulario que mando por post al script PHP la contraseña aparece en mayúsculas, incluso aunque lo escriba en minusculas. Tengo otro formulario de registro en la misma tabla y funciona a la perfección sin embargo este no carrula. ¿Le ha pasado a alguien? alguna sugerencia?

Gracias por adelantado.

Pues no, es  muy raro... mejor pon el codigo seria mucho mejor, igual y tienes un error que por el "estress de programaicon" igual y no lo notas.

Saludos !

[foro simple]

Hazte un foro simple tu mismo, no te llevaria mas que un dia entero, ya hiras puliendo los detalles visuales y otros...

En si, hacer un foro simple es muy sencillo, el problema se basa en pulir detalles como:

- Informar cuando han comentado en un post donde YA comentamos.
- Reportar sobre nuevos post.
- La Firma e Imagen personal.


Puedes empezar con lo basico:

1- Crear cuentas de usuarios y determinar privilegios.
2- Modificar tu perfil (datos basicos, nada de Subir imagen y cosas asi).
3- Colgar un tema.
4- Leer un tema.
5- Modificar/Eiminar un tema.
etc..

Saludos !

[' OR ''=']

le hice un xss a la palabra admin, estoy como admin me parece (puedo modificar, ver y eliminar cualquier palabra) y estoy viendo el tema de las sqli

modifico

por lo que veo todos los usuarios pueden modificar y eliminar, pero pasa que tambien los no registrados tambien pueden (restringi el archivo eliminar.php!!!)

A poco fue la tipica: ' OR ''=' ?

Porque estoy viendo y esta arreglado, no ?

[paginacion()]

jeje esque tiene unas 305 lineas, sin contar las funciones extras. pronto cuando estrene el proyecto en que ando les dejo un link aqui para que lo vean. Saludos.

Wow 305 lineas es mucho, entonces me imagino que tienes un mezcladero horrendo no ?... porque una buena paginacion no hiria mas haya de las 100 lineas :S...

Te recomiendo uses 2 funciones:

paginacion()

paginacion_rollout()

La funcion paginacion() toma argumentos que le sirven para hacer la paginacion segun el limite de inicio y fin, toma la bdd y genera una consulta que despues puedes usar con mysql_fetch_array().

Y paginacion_rollout() crea el roll out de las paginas, tomandos los mismos argumentos que le paseste a paginacion(), esta deduce las paginas, Y podra retornarte el HTML a pegar (ya tu le concatenas una capa) o que lo imprima directo dentro de la funcion (aunque seria poco recomendable).

Saludos !