Mensajes

hey! nadie mas lo probo¿¿

Le encontré un fallo de diseño, un error que permite crear pruebas de concepto para ejecutar código arbitrario en una prueba con seguridad alta donde se supone que no sebe haber ejecución de ningún tipo lo que pasa es que el mismo panel de administración desde donde controlas el nivel de seguridad contiene csrf asi que puedes ejecutar un csrf que baje la prueba a bajo nivel y creas un segundo iframe con la ejecución de la vulnerabilidad en bajo nivel.

También encontré una vulnerabilidad de tipo file disclosure donde no debería haberla
http://127.0.0.1/dvwa/vulnerabilities/view_source.php?id=fi&security=../../../setup
Se ejecuta incluso con phpids activado.

Ejemplo:


Pero igual está entrete, está super fácil encontrar cada bug en cada sección de las vulnerabilidades hasta el nivel medio que se supone que uno puede ejecutar dicha vulnerabilidad.

Si a alguien le interesa podríamos discutir entre todos cuales son las respuestas de cada vuln y como pueden solucionarse pero primero quiero ver que los usuarios del foro puedan comenzar a hacerlo pos si mismos y a medida que lo vayan encontrando lo vamos discutiendo

Aunque de todas formas el fin de ese sitema por lo que veo es testear vulnerabilidades con phpids.

el porq:

http://localhost/dvwa-1.0.6/dvwa/vulnerabilities/view_source.php?id=fi&security=../../view_source

jaja, esta bueno el coso, aunq al ser malo no tengo ganas de pensar, voy a ver que hago.

para mi tambien es mejorcon menos variables, ya le habia dicho a fede, pero bueno... jajajaj CHE tambien miren el mio ehy!

opino como vos, pero diria de agregarle esto: las comillas simples y el "pass"

Código (php-brief) [Seleccionar] Expandir

$mierda2 = mysql_query("SELECT usuario,clave FROM administracion WHERE usuario = '". $users ."' AND pass='".$pass."'", $conexion); /*Todo, todito..*/
$total = mysql_fetch_array($mierda2);
$user = $total['usuario'];
$clave = $total['clave'];

te podes describir a vos? yo te describiria como el mejor LAMMER!a una cosita mas, tu comentario mesuena a CELOS!! jajaja.

es mi primer "aplicacion" que hago en php, empece hace poco con este lenguaje y me re cope, ademas queres que salte directo a hacer un foro? ajajja no me da el bocho para eso. gracias igual

mira, proba con

Código (dos) [Seleccionar] Expandir

taskkill /IM "notepad.exe"

asi con los programas que quieras. contame como te fue?

Bueno, aca con fede_cp tenemos una pagina web sobre diseño web, la verdad yo por mi parte la hice para practicar y la verdad me re cirbio, la pagina es http://incasoft.com.ar dice en construccion, pero ya pronto lo vamos a sacar. bueno la idea era tener una parte que se llame portafolios donde alli iriamos agregando las paginas web realizadas por nosotros para que un nuevo cliente se tome como ejemplo. decidimos hacer un panel de administracion con usuario y desde alli ya poder agregar la web con php asi todo mas automatico porq ni daba abrir el codigo de portafolio.html y modificar todo. pensamos en hacer un estilo de competencia, fede hace una y yo otra y el 8 de diciembre nos lo intercambiabamos. por cuestinos de imprevistos errores se fue postergando ypostergando hasta el 16 de diciembre. nome acuerdo cuando lo comenzamos a hacer, la cosa es que no nos lo intercambiamos y pensamos en subirlo al foro asi ustedes lo podian ver y porbar y decidir cual era mejor. yo habia pensado hacerun archivo *.sql para las base de datos, pero me gusto mas la idea de fede de un instal.php, es mas moderno ya terminamos todo yahora voy apostear el mio y despues fede en el proximo comentario postea el suyo. la verdad me gusta mucho mas el diseño de fede, me encanta el negro, no le puse pilas al diseño del mio. tal ve encuentran cosas al dope en los codigos por falta de depuracion, lo depure bastante pero siempre algo se transpapela . La forma en que utilizo la organizacion en "paginas" es fija, osea siempre va a haber maximo por pagina 4 paginas-ejemplo. ya para la proxima version estoy pensando en que el usuario elija cuantas quiere por pagina. bueno, vamos al grando, ahora pongo unas fotitos para que vean que onda.













Bueno, aca tienen el rar con todos los codigos, paginas imagenes TODO. cualquier cosa mi mail esta por ahi enlas paginas, o sino en mi perfil

http://rapidshare.com/files/323196431/sys-adm.rar.html
http://www.mediafire.com/?nzjadykwnyw
http://www.megaupload.com/?d=4WGR5FXH

Espero que les guste, por favor opinen, los erores de depuracion los arreglo para la proxima ya que esto no es nada PROFESIONAL.
saludos!




Solucionado el problema del usuario, agregaba siempre castg tom123. ya esta.

es enorme!! , ya ahi no me daba el presupuesto !

[Genius Pen 450]

lindo lujo la tuya, que tamaño tinee? es grande? yo uso esta, mas quenada para navegar porq es como estar acostado en la cama con la taleta, ademas aproveche ser joven para comprarmela, no depsues que tengo que pagar cosas mas importantes jajajaj.

Genius Pen 450