Mensajes

MegaMercado.
VentaKing.
QueBarato.
TeLoVendo.
TodoAdquisicion.
GangaShop.
UnaGanga.
TodoALaVenta.
CompraSegura.
CapitalismoOnline.

(No miré los dominios pero imagino que habrá varios pillados)

Okey.pero para que sirven esas cosas?

Para hacking web.

Aprende javascript para xss y otras vulnerabilidades.

Aprende el protocolo http.

Aprende php.

Aprende node.js

Aprende sql

Aprende a usar netcat, curl, wget, burp/mitmproxy

Practica XSS Stored. (Encuentra, construye exploit, vulnera, comprueba resultados).
Practica XSS Reflected.
Practica DOM XSS.
Practica Self XSS y uri schemas.
Practica Mutation XSS.

Entiende Http Parameter Pollution.

Practica path traversal con diferentes puntos de inserción.

Practica CSRF.

Entiende Open Redirect.

Practica SSRF.

Aprende SMTP.

Aprende leaks de información comunes.

Practica Response Spliting y Request Smuggling

Practica Subdomain Takeover.

Practica Command Injection.

Entiende logic flaws. Escalados, bypasses, race conditions ..

Entiende template injections.

Practica con IDOR (indirect object reference)

Ten presente y entiende Pass Quality, Username Enumeration, Bruteforce Resilence, Username Uniqueness, Autogen Pass Predictable, Unsafe transmisión, Unsafe distribution, Insecure Storage, Private data disclosure, Metadata, Credentials in source commentaries...

Practica SQLI (Usando sqlmap no aprendes nada.)

Practica XXE.

Practica con LDAP.

Encuentra errores de config tipo: Default Config insecure, Missing Http Headers. Cookie not secure.

Practica Clickjacking.

Entiende Insecure certificates y como explotarlo.

Checkea Lack of resources, Rate limiting, Load Balancers frente a DOS.

Infórmate de versiones vulnerables comunes con exploits públicos.

Detecta Insufficient Session Expiration, Insecure protocol, HSTS, Directory Listing, Mixed Content over Https, CSP, Inline Scripts/CSS, Clear credentials in memory, Clear credentials in browsers

Aprende a detectar y saltarte filtros.

+ <center> no hace nada en el head.
 - Los elementos en head no son visibles (por defecto).


+ Las etiquetas <p> en el head no se ven. Puedes usar comentarios de html.
 - No es necesario que elimines las etiquetas p, pero mete todo en un comentario.

+ El atributo type en script no sirve para nada.
 - Servia hace muchos años cuando había otros lenguajes comunes como vbscript. Ahora javascript es el standart.

+ long está contaminando el alcance global (window) porque se te olvidó var. Añade "use strict"; al inicio de tus scripts para que el navegador tire error y te avise de esta y otras malas prácticas.
 - <script>
"use script";
Tu código.
</script>

+ Utiliza la misma identación (espacios) en el código.
 - Te ayuda a detectar la falta de corchetes y otros errores a simple vista.

+ No uses innerHTML cuando en su lugar puedas usar innerText.
 - innerHTML es el punto de insercción más común de fallos de seguridad.

+ No escribas varias expresiones unas al lado de otras ni omitas los corchetes del cuerpo de funciones. Hay varios corner cases que no conoces y pueden causar errores por hacer esto. A parte dificultas la lectura del código.
 - Tampoco omitas los ; por el mismo motivo.

+ Los script por lo general deben estar al final del body para que los elementos estén cargados antes de trabajar con ellos.
 - También puedes usar window.onload = function() { tu codigo } o usar body.onload = function() { tu código } pero meter el script al final es mejor.

+ Evita utilizar inline javascript siempre que puedas por motivos de seguridad.
 - Puedes bloquear inline javascript, unsafe eval y añadir otras protecciones si añades tu código en un archivo externo <script src="miFuncion.js"></script> A parte que tu web ocupará menos espacio porque puedes reusar el código en varias páginas en lugar de copiar y pegarlo en todos los que lo necesites. Y si necesitas hacer un cambio en tu código no tendrás que ir documento a documento añadiendo ese cambio.

+ El form en tu código no pinta nada. Y el input submit menos aún porque te recarga la página. El atributo autocomplete="o" para qué es?
- En su lugar quita el form, deja el input, y cambia el input submit por un <button type="button" id="miBoton">Generar</button>
Y en lugar del action=javascript:llamadaATuFuncion obtienes el botón desde el javascript, le añades el evento click y la llamada dentro:
document.querySelector("#miBoton").addEventListener("click", function() {
 generar(document.querySelector("#texto").value);
});

Pues imagínate los empleados xD

PD: este comentario no contiene micro-machismos ni bífidus activo.

saludos!

AJAJAJAJAJAJAJAJAJAJA

El buen bífidus.

fue en el wargame de esta página.

Ver el código fuente de la página jiji, editar cabeceras, descifrar cifrado cesar... Esas cosas básicas.

Y no han querido saber nunca mas de vosotros, ni noviazgo ni amistad ni nada.. os han rechazado incluso despreciado?

Cuando tenía < 16 años siempre xD. A partir de los 15 creo que una vez o dos.

No fuerzes las cosas. Si fluyen bien y si no también.

Igual no es vulnerable el target?

Qué exploit es, para que cve?

Te vale la pena denunciar? xD

Con suerte puedes buscar la thumbnail usando reverse image search.