Foro de elhacker.net

Url de aviso no significa donde lo reportaron sino donde se publicó anteriormente.
Todos los mensajes que no tengan una ur válida de aviso aunque sea un blog en wordpress o blogger, da igual, será eliminado este lunes.

Ok jefe!  :xD

Trabajando en ello...

ok patron  ::)

yo suelo mandarles un mail! no basta con eso? aunque nunca me responden, yo que me privo de borrar bases de datos  :rolleyes:

Eso no es url de aviso, estás avisando al admin pero no es una url de publicación.

Pero lo importante no es que el administrador del sitio sepa cual es el error?
 
Sí puedes porfavor separa todos los mensajes que no son reportes a otro hilo que este ya se fue a la :x

pero no se puede? digo:

sino Vía/URL: http://orderby.com/contacto.com

Yo aviso cuando hay formulario de contacto o correo, sino tendríamos que hacer un blog y poner avisos aunque pienso que no es lo mas ético ya que se prestaría para lammeradas sin posibilidad de defensa por parte del webmaster del sitio

nisiquiera colocan un mail o formulario en la pagina para avisar

de todas maneras a las que no he podido avisar no las he publicado

osea que si la pongo en mi blog , esta bien el post ?
no termino de entender eso , si es asi , avisen que tengo pa tirar al techo ?¿ :P

yo avise a todas, si respondieron o no, si lo arreglaron o no, no es mi culpa ¬¬ desagradecidos :¬¬

En teoría es asi dario, pero no creo que sea muy ético de esa forma, es muy fácil hacer un blog y poner lo mismo que se pone aqui.
 
En fin, son las reglas del foro, además cualquiera puede postear "aviso en www.páginah4x0reada.com/contacto" pero sólo la publicación se puede comprobar

claro , pero es para que no se acuse al foro de intento de algo , mas que nada para no responsabilizar al foro de las vulnerabilidades encontradas...

hay algun tipo de renuncia legla en el foro.elhacker.net? tal vez si el brujo puede arreglar algo de ese tipo, podriamos hacer algun apartado en elhacker.net en el cual podamos publicar el tipo de vulnerabilidad y todo este chirimbolo pero con la unica obligacion de en la pagina "victima" dejar en una noticia, contactarse, en un mail o algo, indicar la direccion de este apartado para que pueda ver las caracteristicas de su bug, se entiende??

claro .. para todos es mas importante avisarles al dueño de la pagina que hecharle la culpa  a otro foro  :xD

jajajaja, hey vamos! cual es tu significado de hacker? romper todo?
para mi no! la cosa es superarte a vos mismo. eso de borrar base de datos es de sobredosis de poder....

lo que dije no era sarcasmo era en serio  :rolleyes:

Entiendo perfectamente que foro.elhacker.net no se quiera hacer responsable de publicar vulnerabilidades en sites, pero aun considerando que la responsabilidad es del admin del sitio, que repercusión puede tener para nosotros el hacer pública una vulnerabilidad?
que alguien la aproveche de forma malintencionada y nos hagan responsables a nosotros?

no consigo verlo claro...   :rolleyes:

claro, pero la culpa seria, vos que lo posteaste en el foro, el-brujo que te permitio y el administrador de la pagina por no hacerte caso. ahora, nose si hay algun tipo renuncia o algun acuerdo legal. si el-brujo se puede pasar una vueltita por aca..

Full Disclosure Policy (RFPolicy) v2.0
:http://www.wiretrip.net/rfp/policy.html

Eso de que descubren el XSS y en el mismo dia lo publican aqui... bueno.

En mi opinion deberian de esperar a que el bug este corregido. Pero si no contesta el admin leer el primer link.

Saludos

Si, eso lo entendí más tarde... dejar un tiempo prudencial después de reportar.
De los errores se aprende.

Gracias,

PS: aunque dudo que esa organización empeore su imagen por esto... :s

Sitio web: http://scuegypt.edu.eg/
Descubridor:  Castg!
URL del aviso: Vía E-mail @
Fecha de descubrimiento: 21/01/10
Fecha de notificación: 21/01/10
Fecha de publicación: 21/01/10
Arreglado: No
Información adicional: Tiene un LFI y SQLi

LFI: http://scuegypt.edu.eg/faculty/public_pages/download.php?path=../download.php (http://scuegypt.edu.eg/faculty/public_pages/download.php?path=../download.php)
SQLi: http://scuegypt.edu.eg/public_pages/view_pages.php?page_id=-11+union+all+select+1,2,3,4,5,6--# (http://scuegypt.edu.eg/public_pages/view_pages.php?page_id=-11+union+all+select+1,2,3,4,5,6--#)

si, con que pongan la misma informacion primero en su blog/pastebin/fulldisclosure/txt.io/etc.. y despues pongan el enlace aqui es suficiente.

ese es el ejemplo perfecto de lo que no deben hacer

¬¬ entonces, a ver si entiendo bien, ahora me hago un blogspot, una nueva entrada que se llame Vulnerabilidades, y pongo una ficha como estas para cada una de las vulnerabilidades, y despues aca, en cada fuicha que yo puse en el foro, le pongo,

y  ahi no me lo van a eliminar??

aca la solucion asus problemas
http://foro.elhacker.net/nivel_web/para_solucionar_los_problemas_con_el_post_de_recopilacion_de_vulnerabilidades-t281850.0.html
}

saludos

mira lo que escribi..... espero tu respuesta sdc

Por cierto no se cual es la idea de postear bugs de webs que no conoce ni el creador :xD

sweria como un curriculum, asi por lo menos se llama en argentina, es como una muestra de tus conocimientos para proyectos futuros. se entiende?

es por que todos tenemos nuestro momento h4x0r en nuestra vida...  :xD

Conocimientos ? Encontrar un XSS o un SQLI en webs que en 5 minutos encuentras ? Para mi eso es mas una muestra de inmadurez

tal vez nosotros seamos los agradecidos de poder encontrarlo en 5minutos, pero no a todos les parece asi.

Es que cualquier tipo que lea un tuto en menos de 1 horas ya esta listo para encontrar la mayoria de los bugs que publican ;)

YST no todos somos personas intachables como tu que "jamas" andarias buscando SQLIs o XSS en sitios web "no conocidos por nadie" pero en fin asi aprendemos todos, ademas hay muchas cosas mas que hacer despues de un XSS o rfi o sqli que se encuentre aqui.

Un saludo "YST"

y ademas sirve por si tienes algun proyecto ya sabes que medidas de seguridad implementar....e sto no es de inmadurez....inmadurez seria andar colocando PWNED BY XXXXX en alguna web pero lo que hacemos nosotros es reportarlo  ;)





saludos

a eso me refiero con hacking ;)
 estartia bueno agregar a la wiki la definicion de hacker, cracker, lammer, noob/newbie, kippie. por lo que navegue no la vi por ninguna parte de las wiki/labs.

Los ultimos 2 post son una indirecta no? :xD

El deface a el que seguramente se estan refiriendo lo hice 2 dias luego de que me enseñaran SQLI y como todo noob me entuciasme :P


No, lo que hacen es publicarlo para que cualquier tipo pueda usarlo con el fin que se le antoje ;)

:( los últimos 2? El mío también era una indirecta xD bueno te mencioné pero... xD nah ya se pasará, siempre pasa YST.

Digo los 3 no abia visto el ultimo :xD

aaaa  menos mal :xD pense que me ignorabas

 :¬¬

deja tranquilo el tema, ya encontraste a lemeruchodel15 o como sea xD deberias estas feliz por lo menos un par de semanas jajaja

lo que yo escribi no lo hice como una indirecta, pero es buena idea, yo lo reporto, de todas las vulnerabilidades que encontre todas las reporto, nomas uno me respondio y nomas me dijio, "gracias" y lo arreglo mal ¬¬. por venganza a que no me responden los posteo :D y tambien para demostrrar mis conocimientos, que quieras o no, para mi es mioprtante, hackear no es cualquier cosa, es un don ! un hacker no se hace, se nace...

Castg , es una inmadurez vengarse por eso :xD

Por cierto eres un hacker por encontrar un bug en una web que en 5 minutos se encuentra :xD :xD Deja de leer tanta noticia sobre hackers :P

salu2 h4x0r :P

Disculpen mods :D

(http://egoist.blogspot.com/EGO376.gif)

Dios mio, que discucion inútil, estoy de acuerdo con que reportar el link directamente para que todos vean el bug, no es de lo mejor, tampoco es un pecado, pero por cierto si podria venir cualquiera y ponerlo, con lo de los 5 minutos no tiene NADA que ver con si es un bug importante o un bug que lo sacaste en 3 meses, ya que por ejemplo yo encontre un bug en fotolog en que podia ver TODO en menos de 2 minutos, fue reportado y arreglado.

si no me creen lo de fotolog preguntenle a castg, hace unas 3 semanas lo encontre.

la solucion para mi es poner la web donde se encontro sin el ejemplo si se reporto que clase de bug y listo.


saludos gente!

tema cerrado.. las reglas son las reglas y deben postear una URL externa ya se dieron muchas alternativas.

Bueno, mas vale tarde que nunca xD, los que no tenían una fuente de referencia se fueron a la hoguera  :-\