elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Empiezan las votaciones del Concurso de desarrollo de aplicaciones EHN-DEV 2014


  Mostrar Mensajes
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 1162
1  Comunicaciones / Android / Re: que hacer cuando extravio el smarphone podra recuperce por EMAI en: Hoy a las 19:38
Qué hacer si te roban o pierdes el teléfono móvil
http://blog.elhacker.net/2014/03/que-hacer-si-te-roban-o-pierdes-el.html
2  Sistemas Operativos / GNU/Linux / GHOST: PoC en: Hoy a las 18:26
GHOST: glibc: buffer overflow en gethostbyname CVE-2015-0235
http://blog.elhacker.net/2015/01/ghost-glibc-buffer-overflow-en-gethostbyname-cve-2015-0235.html

Código
  1. #include <netdb.h>
  2. #include <stdio.h>
  3. #include <stdlib.h>
  4. #include <string.h>
  5. #include <errno.h>
  6.  
  7. #define CANARY "in_the_coal_mine"
  8.  
  9. struct {
  10.  char buffer[1024];
  11.  char canary[sizeof(CANARY)];
  12. } temp = { "buffer", CANARY };
  13.  
  14. int main(void) {
  15.  struct hostent resbuf;
  16.  struct hostent *result;
  17.  int herrno;
  18.  int retval;
  19.  
  20.  /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
  21.  size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
  22.  char name[sizeof(temp.buffer)];
  23.  memset(name, '0', len);
  24.  name[len] = '\0';
  25.  
  26.  retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);
  27.  
  28.  if (strcmp(temp.canary, CANARY) != 0) {
  29.    puts("vulnerable");
  30.    exit(EXIT_SUCCESS);
  31.  }
  32.  if (retval == ERANGE) {
  33.    puts("not vulnerable");
  34.    exit(EXIT_SUCCESS);
  35.  }
  36.  puts("should not happen");
  37.  exit(EXIT_FAILURE);
  38. }


Código:
gcc GHOST.c -o GHOST
3  Foros Generales / Noticias / Re: Facebook e Instagram caen durante una hora por un fallo interno en: Hoy a las 18:22
¿Un fallo interno?

Primero era un fallo eléctrico, luego la intensa nevada de USA....

Lizard Squad tumba Facebook, Instagram y MySpace
http://blog.elhacker.net/2015/01/lizard-squad-tumba-facebook-instagram-y-myspace.html
4  Foros Generales / Noticias / Re: Vodafone España bloquea el acceso a The Pirate Bay (actualizado) en: Hoy a las 18:20
Vodafone retira el bloqueo a The Pirate Bay
http://bandaancha.eu/articulos/vodafone-retira-bloqueo-the-pirate-bay-9123

Citar
"hemos investigado internamente y retiramos el bloqueo al no tener constancia de la orden
5  Programación / Desarrollo Web / Obtener la ip local y remota usando javascript en: Hoy a las 17:31
Get local and public IP addresses in javascript (github.com)
https://github.com/diafygi/webrtc-ips

Usando WebRTC


Código
  1. //get the IP addresses associated with an account
  2. function getIPs(callback){
  3.    var ip_dups = {};
  4.  
  5.    //compatibility for firefox and chrome
  6.    var RTCPeerConnection = window.RTCPeerConnection
  7.        || window.mozRTCPeerConnection
  8.        || window.webkitRTCPeerConnection;
  9.    var mediaConstraints = {
  10.        optional: [{RtpDataChannels: true}]
  11.    };
  12.  
  13.    //firefox already has a default stun server in about:config
  14.    //    media.peerconnection.default_iceservers =
  15.    //    [{"url": "stun:stun.services.mozilla.com"}]
  16.    var servers = undefined;
  17.  
  18.    //add same stun server for chrome
  19.    if(window.webkitRTCPeerConnection)
  20.        servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};
  21.  
  22.    //construct a new RTCPeerConnection
  23.    var pc = new RTCPeerConnection(servers, mediaConstraints);
  24.  
  25.    //listen for candidate events
  26.    pc.onicecandidate = function(ice){
  27.  
  28.        //skip non-candidate events
  29.        if(ice.candidate){
  30.  
  31.            //match just the IP address
  32.            var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
  33.            var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];
  34.  
  35.            //remove duplicates
  36.            if(ip_dups[ip_addr] === undefined)
  37.                callback(ip_addr);
  38.  
  39.            ip_dups[ip_addr] = true;
  40.        }
  41.    };
  42.  
  43.    //create a bogus data channel
  44.    pc.createDataChannel("");
  45.  
  46.    //create an offer sdp
  47.    pc.createOffer(function(result){
  48.  
  49.        //trigger the stun server request
  50.        pc.setLocalDescription(result, function(){});
  51.  
  52.    }, function(){});
  53. }
  54.  
  55. //Test: Print the IP addresses into the console
  56. getIPs(function(ip){console.log(ip);});
6  Sistemas Operativos / GNU/Linux / Re: Elección sobre servidor smtp, imap y administrador en: Hoy a las 12:09
Añade en los registros SPF del domnio (DNS) las ip's de los servidores de correo para evitar que lleguen a la carpeta de Spam.
7  Programación / PHP / Re: Cual es el procedimiento mas efectivo para evitar XSS? en: Hoy a las 11:47
Código
  1. //xss mitigation functions
  2. function xssafe($data,$encoding='UTF-8')
  3. {
  4.   return htmlspecialchars($data,ENT_QUOTES | ENT_HTML401,$encoding);
  5. }
  6. function xecho($data)
  7. {
  8.   echo xssafe($data);
  9. }


Código
  1. function SanitizeInputXSS($dirty_input) {
  2.      return htmlspecialchars(rawurldecode(trim($dirty_input)), ENT_QUOTES,'UTF-8');
  3. }
  4.  
  5. $name = SanitizeInputXSS($_POST['name']);  

Usar

FILTER_SANITIZE_STRING
FILTER_SANITIZE_SPECIAL_CHARS (. Equivalente a llamar a la función htmlspecialchars().)


Como localizar un bug XSS
http://foro.elhacker.net/seguridad/como_localizar_un_bug_xss-t389569.0.html


Muy viejo, del 2007:

Código PHP AntiXSS
http://foro.elhacker.net/hacking_avanzado/codigo_php_antixss-t174415.0.html

2006:

evitar XSS en eval()
http://foro.elhacker.net/nivel_web/evitar_xss_en_eval-t274302.0.html

WHK debería actualizar su guía:

Recopilatorio de Filtros, Casting y Parsing para PHP
http://foro.elhacker.net/php/recopilatorio_de_filtros_casting_y_parsing_para_php-t348221.0.html
8  Foros Generales / Noticias / Re: Vodafone España bloquea el acceso a The Pirate Bay en: Hoy a las 11:31
Vodafone confirma el bloqueo a The Pirate Bay por orden del Ministerio de Cultura
http://blog.elhacker.net/2015/01/vodafone-confirma-el-bloqueo-the-pirate-bay-por-orden-del-ministerio-de-incultura.html
9  Foros Generales / Noticias / Re: Google facilitó a EEUU el contenido de los correos de miembros de WikiLeaks en: Ayer a las 17:46
10  Foros Generales / Noticias / Re: Descubren cómo robar una cuenta de Google con doble autentificación en: 23 Enero 2015, 19:29
El titular es un pelín sensacionalista, ya que no logran vulnerar (2FA), simplemente lo deshabilitan desde el panel de control de Google Apps...

Más info y detalles técnicos aquí:

Solucionada vulnerabilidad XSS en el panel de control de Google Apps
http://blog.elhacker.net/2015/01/solucionada-vulnerabilidad-xss-en-el-panel-de-control-google-apps.html
Páginas: [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 ... 1162
Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines