Mensajes

He sacado los headers y sigue sin aparecer ._.

y se envía el $_POST['dislike'] ??

prueba poniendo un echo al ultimo antes de cerrar el php (?>), si muestra el echo entonces no se esta recibiendo $_POST['dislike'].

Saludos

Buenas, estoy con el log y he encontrado lo siguiente lo cual no estoy seguro si es algo que repercuta sobre este problema, debido a que lo que muestra el sitio web es ubbylys.ru/count28.php he buscado en el log una extensión rusa y he encontrado lo siguiente en el log.

Código [Seleccionar] Expandir

sticker01.yandex.ru - - [17/May/2012:11:26:49 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:50 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:11:26:51 +0200] "GET / HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
ticker01.yandex.ru - - [17/May/2012:14:03:34 +0200] "GET /robots.txt HTTP/1.1" 403 22 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:35 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
sticker01.yandex.ru - - [17/May/2012:14:03:36 +0200] "GET /una_web HTTP/1.1" 403 42 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"

Yandex.ru es el buscador mas conocido de rusia según he escuchado, esos logs solo muestran al BOT de yandex.ru indexando tu web.

No se si ya modificaste tu archivo php, si no, podrías ver la ultima fecha de modificación y revisar en el log mas o menos antes de la ultima fecha de modificación.También podrías ver los logs desde la ultima vez que estaba bien tu web.

Puedes ayudarte de los comandos tail y grep un ejemplo:

Las ultimas 1000 lineas del acces_log-01 y que muestre solo las lineas que contengan AND

Código [Seleccionar] Expandir


tail -1000 /var/log/httpd/access_log-01 | grep AND


El and es un patrón común en las sql injections, tambien podrias buscar patrones sobre RFI.

Saludos

has visto la cantidad de información que sale de tu pc sin usar internet, solo estando conectado a una red?,, osea pon el wireshark y veras que hay varios protocolos ( los cuales desconozco) pero por ejemplo esta ARP que cuando haces una consulta por la ip del router se manda tu MAC address, no se si esa comunicación puede quedar logeada en algún lugar.

Esta también el hecho de que lo locales comerciales como macdonals tienen cámaras de seguridad, las cuales poseen fecha y hora, bastaría ver quien estuvo con un notebook a la hora que se realizo el ataque, teniendo una imagen del individuo el resto es pan comido para la policía xD!.

Lo mejor es evitarse problemas , ya que si alguien poderoso te quiere buscar, entonces te va a encontrar xD

mm podrías revisar los logs del apache comúnmente en /var/logs/httpd mira si encuentras algo sospechoso como intentos de sql injection o alguna cosa, luego revisa si es que existe algún nuevo usuario creado en el sistema, revisa su historial de comandos (.bash_history), quizás haya sido un ataque automatizado, osea algún bot que se encargue de escanear y automáticamente inyectar malware en las paginas.

de todos modos no olvides que si usas algún CMS o parecido, debes mantenerlo actualizado.

Saludos

Llegue a esta prueba y la verdad por esos tiempos google anda bien difícil, yo encontré hace un tiempo un xss en youtube y en hotmail, pero los 2 eran mediante POST, no recuerdo si se podían pasar las variables por GET pero si no es posible, entonces el reto no podra validar el xss :/

Saludos.

Basicamente, ese metodo de comprobar si esta vacia o no se salta con un nullbyte en seguida.

Un ejemplo:

Código (php) [Seleccionar] Expandir

<?php
// Null byte.
$var = "\x00";

// Isset devuelve TRUE.
var_dump(isset($var));

// Esta funcion devuelve False.
function emptyy($var){if(strlen(trim($var))>=1){return true;} else {return false;}}
var_dump(emptyy($var));

// Tu metodo devuelve TRUE tambien.
if (isset($var) AND $var!==null){echo 'Variable aceptada';} else {echo 'Variable no aceptada';}


// Imprimir variable (vacia)
echo '<br />Variable: '.$var;
?>

Devolveria

Código (php) [Seleccionar] Expandir

boolean true

boolean false

Variable aceptada
Variable:


PD: Obviamente un nullbyte es nada.. esta vació.. entonces todas deberían retornar false...

Saludos

Tienes razón no habia tomado en cuenta el null byte, mm esto seria nuevo para mi xD!,, veamos encontre que si lo paso a ascci con la funcion ord, el nullbyte queda en 0 entonces:

Código (php) [Seleccionar] Expandir


<?
$nums=array("\x00","","   ","0",0,3);
foreach($nums AS $n) var_dump(test($n));
function test($var){
if(isset($var) AND ord(trim($var))>0) return true;
else return false;
}
?>

Resultado:

Código (html4strict) [Seleccionar] Expandir


boolean false

boolean false

boolean false

boolean true

boolean true

boolean true



Saludos

[show database;]

ok,
pues primero al intentar ver la base de datos con el comando show database;  me sale el siguiente error:

ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'database' at line 1


segundo, para que apache, mysql y php puedan entenderse (segun lo que dice el cuate este del link que puse) debo modificar un archivo de configuracion php, en la parte donde dice extensión dinamics al final de las lineas agregar lo siguiente:

extension=mysql.so

ya que al ir al navegador y poner en la barra de direcciones localhost/phpmyadmin. ...me aparece not found, cuando se supone que me deberia aparecer algunas cosillas...pero esto podria ser por el primer problema con mysql...la verdad no tengo idea de que esta pasando qui.

es databases con S al final, en cuanto al archivo de configuracion en el tutorial dice que se encuentra en /etc/php5/apache2/php.ini

Si no lo encuentras habre una consola de comandos y pon "cd /etc", luego pon "cd apache" y en vez de presionar enter, presionar la tecla TAB (se usa para autocompletar), deberia llenar automaticamente el nombre de la carpeta.

Como dije no conozco mucho ubuntu en otras distro la carpeta de apache esta en /etc/httpd,  pero con el comando "ls" puedes ver los archivos y carpetas, la idea es que aprendas a usar la consola de comandos ya que te sera de gran ayuda.

Saludos.

El problema de isset es que aunque la variable este vacía puede retornar true por simplemente estar definida... si yo hago index.php?var=, isset devolvería true..

Código (php) [Seleccionar] Expandir

<?php
$var = '';
$var2 = ' ';
var_dump(isset($var));  // True
var_dump(isset($var2)); // True
?>


Saludos

El isset es para verificar si la variable ha sido creada, no para validar, la validación se hace en

Código [Seleccionar] Expandir

$_POST["opcion"]!==''

el isset es por que si pones solo el codigo anterior y no se envia la variable te saldria un error de undefined key "opcion".

saludos

http://www.w3schools.com/tags/att_input_accept.asp

se puede especificar el mime type pero no es compatible ni con safari ni con ie :/

saludos

podrías probar con esto:

Código [Seleccionar] Expandir

if (isset($_POST["opcion"]) AND $_POST["opcion"]!==''){

}

ó

Código [Seleccionar] Expandir

if (isset($_POST["opcion"]) AND $_POST["opcion"]!==null){

}

Saludos