Con Ari-Slash creamos un blog en wordpress.com para tratar de solucionar el tema de desvincular el foro de los avisos de vulnerabilidades en webs, rigiendonos por la regla que puso SDC en el primer post de http://foro.elhacker.net/nivel_web/recopilatorio_de_vulnerabilidades_de_xsssqlinjection-t220843.0.html


el blog es http://h4ckvi505.wordpress.com/

y para publicar solo deben enviar un correo a cetu183hebi@post.wordpress.com y se publica automatico.

Este blog idealmente es solo para apoyar ese hilo con una url externa al foro, por lo tanto no contendra ni direcciones a paginas personales ni publicidad por lo menos en el foro :S ni idea de lo que ustedes manden, de todas maneras cada ciertos momentos tratare de borrar la basura que envien los lammers

Espero que no consideren esto spam ya que dista mucho de serlo y tampoco muevan el post desde aqui (nivel web)

Por ultimo el blog tiene cero relacion con elhacker.net y no pretende ni sera un blog oficial o similar. Tan solo sera para los fines expuestos anteriormente y me hago responsable por lo que ahi se postee si es algo ilegal se le entrega los datos a la policia y listo xD entiendase ilegal a pornografia infantil o tonterias de ese tipo

Un saludo y espero que no lo tomen a mal, aunque sinceramente no espero que dure mucho este post por aqui.

Necesito saber sí una variable es "algo.otracosa.otramas". A alguien se le ocurre? He pensado harto pero no me resulta :s

Hay alguna forma en php de ver sí una página está enlínea o es real por medio de un ping o similar?
 
Osea necesito saber sí www.elhacker.net está disponible, como sería?

No lo iba a postear xD pero mejor si xD

Es un simple script para anonimizar links no es como lix.in sino mas com un puente de salida para quitar el referer, no esta pensado para que el usuario final no sepa a que url va sino para poder poner publicidad en los enlaces o hacer que vean algo que gusten antes de que aprovechen la descarga o el enlace.

Pruebenlo y diganme que tal esta, el diseño se lo dejo a quien lo quiera usar

<?php
error_reporting(0);
/* Limpia la variable que queramos */
function limpia($a){
/* Paso a minusculas */
$a = strtolower($a);
/* Quita http:// */
$a =  str_replace("http://","",$a);
/* Limpia caracteres html */
$a =  htmlspecialchars($a, ENT_QUOTES);
return $a;
}
 
/* Obtiene el nombre de la pagina en que estara el script */
$servidor = $_SERVER['HTTP_HOST'];
/* Obtiene la carpeta donde esta el script */
$path = $_SERVER['PHP_SELF'];
/* obtiene el valor de nuestra variable xD */
$page = @$_GET['page'];
$var = @$_GET['url'];
 
/* Limpia la variable usando la funcion anterior */
$var = limpia($var);
$page = limpia($page);
 
$var = base64_encode($var);
 
/* Si $var esta vacia se muestra el formulario 
para ingresar una direccion ;) */
 
/* Si $page esta vacia entonces pregunta por $var xD */
If (empty($page)){
/* Si $var esta vacia muestra el formulario para ingresar una direccion */
	if(empty($var)){
		echo '
			<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
			"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
			<html xmlns="http://www.w3.org/1999/xhtml">
			<head>
			<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
			<title>Anonimizer - Inicio</title>
			</head>
			<body>
			<form action="" method="get">
			<b>Ingrese una direcci&oacute;n</b><br />
			<input type="text" name="url">
			<input type="submit" value="Anonimizar!">
			</form>
			</body>
			</html>
			';
/* Si $var no esta vacia muestra los enlaces para que el usuario sepa que enlaces
poner en foros o en su sitio */
	}else{
		echo '
			<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
			"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
			<html xmlns="http://www.w3.org/1999/xhtml">
			<head>
			<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
			<title>Anonimizer - Obtener</title>
			</head>
			<body>			
			<form>
			<b>Enlace directo:</b><br />
			<input size="60" type="text" value="http://',$servidor,$path,'?page=',$var,'"><br />
			<br /><b>Enlace HTML para sitios web y blogs:</b><br />
			<textarea rows="4" cols="50"><a href="http://',$servidor,$path,'?page=',$var,'" title="Enlace anonimo" target="_blank">Enlace anonimizado!</a></textarea><br />
			<br /><b>Enlace Para foros (bbcode):</b><br />
			<textarea rows="4" cols="50">[url=http://',$servidor,$path,'?page=',$var,']Enlace anonimizado![/url]</textarea><br />
			</form><br /><br />
			<a href="http://',$servidor,$path,'?page=',$var,'" target="_blank">Probar enlace</a>
			</body>
			</html>
			';
	}
/* Si $page tiene un valor entonces muestra el valor anonimizado xD
si el valor no es correcto entonces se jode el anonimizador malintencionado &#172;&#172; */
}else{
	$page = base64_decode($page);
	echo '
			<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
			"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
			<html xmlns="http://www.w3.org/1999/xhtml">
			<head>
			<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
			<META HTTP-EQUIV="REFRESH" CONTENT="6;URL=http://',$page,'">
			<title>Anonimizer - Obtener</title>
			</head>
			Por favor espere 5 segundos o haga click <a href="http://',$page,'">aqui</a>
			</body>
			</html>
			';
}
?>
 

Es bastante simple de usar asi que si alguien tiene una duda que la postee no hare un tutorial xDDDDDDD

Saludos y gracias por lo que he aprendido y seguire aprendiendo.

PD: Sip soy noob y? Tu naciste sabiendo? xD

Eso pues... Alguna recomendacion?

Necesito hacer una aplicacion de escritorio se conecte a una db (MySql) que estaria en un servidor web. Es esto posible?

estuve ojeando mi cpanel y hay un apartado de mysql remota


Alguien sabe? hace un tiempo Skeletron queria hacer algo similar pero nunca menciono si le resulto

Pues eso al parecer esta pagina esta echa en asp (creo)

Y al tratar de meter xss me sale algo extraño :s

http://www.xxxxxxxx.com/musica-de/gh/?%3Cscript%3Ealert('holi')%3C/script%3E

Es algo como una advertencia para el webmaster con lo que tiene que hacer para solucionar la url peligrosa ¬¬

Bueno andaba viendo mis puntos circulomas xDDDDD (quien sea chileno tal vez lo entienda) y me encontre con una hermosa sorpresa...

Al ingresar mi rut en http://www.circulomas.cl/ me equivoque 

y a que no adivinan que paso  me salio con el rut el nombre completo de otra persona, ustedes diran que es una estupidez no? pues lo simpatico es que nuestros datos estan a la vista de cualquier imbecil que sepa que el rut se valida con la "-X" con un simple algoritmo disponible en internet, si alguien quiere le paso un programa que hice hace tiempo para saber el digito verificador del rut.


El problema... La pagina entrega Nombre completo + rut + numero de puntos circulomas por lo que se subentiende que tiene tarjeta mas xDDDDD, con dos dedos de frente consigo el telefono de esta persona, lo llamo + un poquito de ingenieria social y lo estafo, todo gracias a CencoSud... Ahora la pregunta del millon Alguien en tu casa tiene tarjeta mas? xDDDDDDD

No borren este mensaje porfavor es solo para informar y...

Que viva:

Necesito hacer la siguiente comparación en php:

Si x esta entre 0 y 99
    muestra esto

si esta entre 100 y 199
    muestra esto

si esta entre 200 y 299
    muestra esto....


... si esta entre 10.000 y 10.099
     muestra esto

Se que con un if seria muy facil xD en teoria, estaba tratando de usar el switch de php pero en la documentacion (http://php.net/manual/en/control-structures.switch.php) no sale algo parecido a lo que necesito :S

Por lo general no posteo xss pero este en particular me parece que es especialmente grave por la ingenieria social que se le puede aplicar, ya que es en un sitio de musica online y es facil decir "Oh mira que cancion tan buena" :¬¬

Esta reportado 11/08/2009

El xss esta en la pagina donde se abre el reproductor portable...

Yo lo llamaria inyeccion html :¬¬ pero para que WHK no reclame lo llamaremos xss xD

por ejemplo tenemos una cancion cualquiera:

http://www.goear.com/listenwin.php?v=78707c5

le agregamos nuestro codigo malo xD

http://www.goear.com/listenwin.php?v=78707c5'><script>alert('te robamos tus cookies... gracias ')</script>

Que en el navegador se vera:

http://www.goear.com/listenwin.php?v=78707c5'%3E%3Cscript%3Ealert('te%20robamos%20tus%20cookies...%20gracias%20;)')%3C/script%3E

y que podemos disfrazar en foros asi

http://www.goear.com/listenwin.php?v=78707c5 y decir "esta cancion es genial"

No se cargara la cancion pero la gente no dudara a menos que vea la direccion xD en fin

Saludos.

PD: Solo se le agrego un alert pero la gente puede ser un poco mas ingeniosa, si no quieren que la direccion aparezca como http://www.goear.com/listenwin.php?v=78707c5'> solo quitenlo, se ejecuta igual nuestra inyec... XSS ¬¬