Mensajes

antes que nada, un saludo para ti, y comentarte que creo que tu filosofía y tu predisposición es la correcta, no tanto solucionar el problema como aprender solucionandolo, 10 puntos para ti jaja.

Bien, has comentado que la salida a internet es gestionada por un nodo de la topología en estrella, supongo que será el central, pero dado que la topología logica es un bus ethernet (al que supongo os conectais mediante un switch) eso no es realmente importante. No has hablado de la manera en que se administra la salida a internet... si es siguiendo una lista de acceso, lo vas a tener complicado, podrias intentar hacer un envenamiento arp, y darte salida a ti en lugar de una IP que se supone que está en la lista blanca... Si es siguiendo otro modo (o incluso el anterior mencionado) estaríab ien que aportases más información acerca de como se realiza la criba.

Un saludo =)

Te doy la total razón, pero estarás conmigo entonces en que tu frase era incorrecta (formalmente hablando), una prepared statement no es segura "per se" sino que lo es porque aporta procedimientos que la hacen segura.

Sin duda alguna, es la manera correcta de hacer aplicaciones seguras, un saludo =)

Para evitar inyecciones sql lo más fácil y seguro es simplemente utilizar prepared statements.

Saludos.

eso es un mito urbano eh, las prepared statements tmb son vulnerables. Pongo un link a una presentacion en la que se muestra todo eso y métodos pra protegerse y asi contesto tmb a Karcrack:  http://www.slideshare.net/billkarwin/sql-injection-myths-and-fallacies

vamos  a ver, ningun administrador web en su sano juicio colocaría el directorio público de cada usuario en la raiz de su home, es decir, el mod_userdir permite que los usuarios tengan sus propias carpetas con sus documentos web, que por defecto, son accesibles en la carpeta /home/usuario/public_html.

Todos los archivos que has puesto ahi (excepto los tres primeros),

.bash_history
.bashrc
.ftpquota
.gbent
.grc
.gui
.host
.hosts
.jpilot
.master
.members
.mysql_history
.net
.nsconfig
.pass
.passes
.pwd
.ssh/
.ssh/know_hosts
.ssh/id_rsa
.ssh/id_rsa.pub
.ssh/id_rsa.priv
.ssh/id_rsa.key
host
hosts
passwd
shadow

están localizados en otras partes del sistema que no son la propia carpeta public_html.

Resumiendo, no me lo creo xD

proxychain para firefox? por qué no usas tor + foxy proxy?

pd: no creo que haga falta abrir puertos en el windows, pero no se exactamente como hace el tunelling la maquina virtual asi que no te digo ndaa seguro pq no lo se xD

en ensamblador se realizan códigos orientados a una determinada estructura del microprocesador, la mayoria de los micros actuales utilizan la arquitectura x86 o son compatibles directamente con ella.

por otra parte algunos de estos codigos o la mayoria de ellos hacen uso de apis propias de cada SO por lo que es necesario saber a priori que plataforma ejecuta

botón derecho sobre el correo, click en "ver codigo fuente del mensaje", busca algo como "Received from: xxx.xxx.xxx.xxx" y ves la IP, luego pues... tipico geolocalizador de palo.


De nada.

usa tcpdump


por cierto eso de que si sniffas a la puerta de enlace obtienes todos los paquetes que pasan por el router: "jé", estas ekivocado my dear.

El no ver lo que escribes en telnet es por el "local echo", es decir, el eco local está desactivado.
Para todas esas cosas podrías usar netcat o algun cliente como putty que son más completos. El servicio finger te permite preguntar sobre usuarios a un host determinado, no se que esperas conseguir con eso, pero bueno. Hay varios clientes gráficos para windows, como: http://windows.software.hispavista.com/95-98/n225-wfinger-1-0a/

mirate este artículo, es bastante interesante, el método sería similar al java applet infect, se trata de instar al usuario a hacer click a una determinada descargar:

http://malwarelabs.org/propagacion-actualizacion-flash-falsa-18/

pero todo desde la etica que si no me caza novlucker xDD