busca por el foro k hay manuales para hacer inyección sql y otro tipo de ataques, para editar las sesiones y tal depende del navegador...
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#372
Programación Visual Basic / Re: Ramdon
29 Abril 2007, 19:11 PM
yo quiero ser tan grande como la luna
#373
Programación Visual Basic / Re: ¿Un Formulario MDIChild Puede tener un fomulario contenedor?
29 Abril 2007, 16:00 PM
no entiendo que quieres hacer... llamar a un formulario y ejecutar una función? create una variable global y al cargar el otro formulario la compruebe para lanzar o no la búsqueda,
si te explicas mejor podré entenderte
si te explicas mejor podré entenderte
#374
PHP / Re: Saber si mi script es vulnerable
29 Abril 2007, 13:15 PM
como te he dicho no hace falta ni logearse para entrar a tu zona restringida xD
y una vez ahi se puede inyectar código al insertar noticias y tal, por no mencionar que se puede como has dicho borrar todas las noticias de la base de datos xD
eso es una lamerada ... xD
recomendación, comprobar los datos de la sessión antes de utilizarlos, y hacer la comprobación doble que el user y el pass sean buenos (en todas las zonas en las que quieras meter seguridad) te haces una función que haga todo eso y listo
lo de seguridad y tal en las consultas y subidas de archivos...
yo creo que te pueden hacer de todo, por ejemplo:
si alguien logra entrar, sube un achivo y le mete una url en la noticia todo el que entre y la clique mismamente, quedaría infectado... y eso es lo primero que se me ha ocurrido
asi que filtra las subidas (k son un par de ifs)
a mi por de pronto no se me ocurre nada más que comentarte
y una vez ahi se puede inyectar código al insertar noticias y tal, por no mencionar que se puede como has dicho borrar todas las noticias de la base de datos xD
eso es una lamerada ... xD
recomendación, comprobar los datos de la sessión antes de utilizarlos, y hacer la comprobación doble que el user y el pass sean buenos (en todas las zonas en las que quieras meter seguridad) te haces una función que haga todo eso y listo
lo de seguridad y tal en las consultas y subidas de archivos...
yo creo que te pueden hacer de todo, por ejemplo:
si alguien logra entrar, sube un achivo y le mete una url en la noticia todo el que entre y la clique mismamente, quedaría infectado... y eso es lo primero que se me ha ocurrido
asi que filtra las subidas (k son un par de ifs)
a mi por de pronto no se me ocurre nada más que comentarte
#375
PHP / Re: Saber si mi script es vulnerable
28 Abril 2007, 23:35 PM
las sesiones se pueden manipular también desde el usuario y tal...
no hace falta ni logearse para hacerte una inyección ya que solo compruebas si existe la sesión, no si la sesión es correcta y contiene datos verdaderos
yo podría entrar simplemente editando una sessión que pusiese algo diferente de vacio como usuario.
eso es lo primero que he visto al ojear las primeras líneas de tu código... voy a mirar un poco más y te sigo diciendo xD
En serio te funciona esto¿?
estas metiendo datos de texto sin meter comillas, ¿se las añade la función no, y supongo que también comprobará que no te meten lameradas xD?
$insertSQL = sprintf("INSERT INTO noticias (Titulo, Texto1, Imagen) VALUES (%s, %s, %s)",
GetSQLValueString($_POST['Titulo'], "text"),
GetSQLValueString($_POST['Texto1'], "text"),
si el id es autoincremental y usas mysql...(si se supone que es clave primaria, cosa que me temo que no) no dejaría enviar 500 en un segundo, al no ser clave primaria, envia los 500 inserts a la vez y al colapsarse la base de datos no aumenta el autoincremental (por el commit y tal xD)
lo que utilizarón es un script que lanza simultáneamente esas 500 peticiones sin más, pon como clave primaria al identificador de la noticia y añade un contador que no permita enviar noticias hasta pasado 1 minuto después de su última (vía mysql o po sesion) y la otra opción es utilizar captcha
no hace falta ni logearse para hacerte una inyección ya que solo compruebas si existe la sesión, no si la sesión es correcta y contiene datos verdaderos
yo podría entrar simplemente editando una sessión que pusiese algo diferente de vacio como usuario.
eso es lo primero que he visto al ojear las primeras líneas de tu código... voy a mirar un poco más y te sigo diciendo xD
En serio te funciona esto¿?
estas metiendo datos de texto sin meter comillas, ¿se las añade la función no, y supongo que también comprobará que no te meten lameradas xD?
$insertSQL = sprintf("INSERT INTO noticias (Titulo, Texto1, Imagen) VALUES (%s, %s, %s)",
GetSQLValueString($_POST['Titulo'], "text"),
GetSQLValueString($_POST['Texto1'], "text"),
Código [Seleccionar]
<?php
$insertSQL = sprintf("INSERT INTO noticias (Titulo, Texto1, Imagen) VALUES (%s, %s, %s)",
GetSQLValueString($_POST['Titulo'], "text"),
GetSQLValueString($_POST['Texto1'], "text"),
GetSQLValueString("../iconos_web/fotos_noticias/".$nombre_archivo, "text"));
mysql_select_db($database_Dominican, $Dominican);
$Result1 = mysql_query($insertSQL, $Dominican) or die(mysql_error());
?>
si el id es autoincremental y usas mysql...(si se supone que es clave primaria, cosa que me temo que no) no dejaría enviar 500 en un segundo, al no ser clave primaria, envia los 500 inserts a la vez y al colapsarse la base de datos no aumenta el autoincremental (por el commit y tal xD)
lo que utilizarón es un script que lanza simultáneamente esas 500 peticiones sin más, pon como clave primaria al identificador de la noticia y añade un contador que no permita enviar noticias hasta pasado 1 minuto después de su última (vía mysql o po sesion) y la otra opción es utilizar captcha
#376
Diseño Gráfico / Re: De foto a pintura [Tutorial]
28 Abril 2007, 21:17 PM
jaja keda muy chulo, aunque en el primer caso con el primer paso creo que ya se ve en tono pintura
#377
PHP / Re: Sistema de ingreso de usuario en PHP
28 Abril 2007, 15:40 PM
claro que es vulnerable, desde luego xk faltan los comentarios iniciales en el que le puse que tenía que comprobar si los valores de las cookies son correctos y no intentos de lameradas, pero supongo que el muchacho estará bastante liado con tanto code como se ha posteado xD
cuando me ponga a realizar un ingreso de usuarios para mi próximo proyecto, comparto el code con vosotros (y de paso criticáis los posibles fallos/inseguridades) la idea seria crear un ingreso de usuario seguro como base para los foreros
cuando me ponga a realizar un ingreso de usuarios para mi próximo proyecto, comparto el code con vosotros (y de paso criticáis los posibles fallos/inseguridades) la idea seria crear un ingreso de usuario seguro como base para los foreros
#378
Diseño Gráfico / interfaz de mi jueguecillo
24 Abril 2007, 17:29 PM
saludos xD
queria presentaros la interfaz de un jueguecillo que ando haciendo, ave que os parece
como lo mio no es el diseño no se si cumple su cometido estético o no xD
si a alguien le sobra tiempo y quiere mejorarla o aportarme alguna sugerencia tendrá mi agradecimiento xD
os cuento un poco de que va el juego para los interesados, es un juego de estrategia por turnos, las unidades y demás son orcos, guerreros, esqueletos, trasgos ...etc..., el trozo gris del centro es el tablero (es de 11x11, cada cuadradito tiene de lado 81 pixeles)
la interfaz del juego es simple, permite guardar y cargar la partida asi como salir (todavia no he añadido los botones para esas tres acciones), permite visualizar el oro y la comida de que dispones, asi como los stats de una unidad. También tiene un menú de reclutamiento.
ahi os la dejo
queria presentaros la interfaz de un jueguecillo que ando haciendo, ave que os parece
como lo mio no es el diseño no se si cumple su cometido estético o no xD
si a alguien le sobra tiempo y quiere mejorarla o aportarme alguna sugerencia tendrá mi agradecimiento xD
os cuento un poco de que va el juego para los interesados, es un juego de estrategia por turnos, las unidades y demás son orcos, guerreros, esqueletos, trasgos ...etc..., el trozo gris del centro es el tablero (es de 11x11, cada cuadradito tiene de lado 81 pixeles)
la interfaz del juego es simple, permite guardar y cargar la partida asi como salir (todavia no he añadido los botones para esas tres acciones), permite visualizar el oro y la comida de que dispones, asi como los stats de una unidad. También tiene un menú de reclutamiento.
ahi os la dejo
#379
Programación Visual Basic / Re: PNG en visual basic
24 Abril 2007, 13:41 PM
el problema de la clase es que no puedes liberar el gráfico de la memoria xD
yo que actualmente ando haciendo cosillas con gráficos la utilicé para comprobar su rendimiento... en cuanto procese un bucle gráfico de mi actual proyecto xD la ram que consumia aumentaba en unos cuantos mgs por segundo hasta que se disparaba el error de máximo uso de la clase o algo asi xD
para poner unas cuantas fotos no causa molestias pero cuando andas trabajando con cientos de frames xD
yo que actualmente ando haciendo cosillas con gráficos la utilicé para comprobar su rendimiento... en cuanto procese un bucle gráfico de mi actual proyecto xD la ram que consumia aumentaba en unos cuantos mgs por segundo hasta que se disparaba el error de máximo uso de la clase o algo asi xD
para poner unas cuantas fotos no causa molestias pero cuando andas trabajando con cientos de frames xD
#380
Programación Visual Basic / Re: Necesito ideas (formas) de transferir un log sin ser detectado.
23 Abril 2007, 15:52 PMCita de: Scratz en 22 Abril 2007, 20:28 PM
Yo lo que necesito es transferir los datos, ya me las apañaré para conseguirlos. Gracias de todos modos.
y que te he dicho? xD