No, no es así como funciona el bypass a HSTS. Como dices los navegadores tienen para ciertos dominios forzada la carga con HTTPS, de hecho busqué esa lista de dominios que usan HSTS que podéis encontrarla aquí: https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json además de otros enlaces.

Para bypassear la carga de estos dominios en HTTPS es fácil, basta con utilizar el protocolo DNS cuando se resuelve el dominio de esa web que usa HTTPS, y devolvemos un DNS response con un nombre de alias o canonico (CNAME), así pues cuando pregunte por DNS cual es la IP de google.com, le devolveremos la IP de google pero modificaremos esa DNS response metiendola CNAME diciendo que no es google.com sino gooogle.com, ese nuevo dominio será el que aparezca al usuario cuando trate de cargar google.com, y al no estar este dominio en la lista HSTS queda bypasseado eso si la página será igual que google, la única desventaja será que el usuario en la barra de tareas no verá google.com sino wwww.google.com, solo hay que echarle imaginación y poner el dominio que menos llame la atención, también hayque tener en cuenta que solo será para los HSTS los demás será el dominio original el que se utilice. Este es el método que tengo pensado utilizar aunque desconozco si ha sido mejorado.

Respecto a lo de engelx es lo que imaginaba, supongo que al llamar a "GetNetworkParams" si no tiene servidor dns fijado a una IP, supongo que tendrá la del router por defecto o algo así, siempre debe de tener uno asignado, así que utilizare esa función para lanzar mensajes DNS al servidor y resolver los dominios, luego solo será modificarlos con el CNAME y añadirlo a la lista de dominios en URLMonitor.

Saludos y gracias.

Buenas, estoy montando un servidor DNS para bypassear el HSTS y necesito mandar las DNS request a la IP del servidor DNS de la red, pero CREO que hay redes que no tienen servidores DNS dedicados, entonces me he preguntado que a donde mandan las requests, ¿a la IP del router y el la resuelve, o simplemente estoy equivocado y todas las redes tienen servidores DNS con su IP sin excepciones?.

En definitiva, lo que quiero saber es si "GetNetworkParams" de windows, me dará el valor siempre del servidor DNS tenga o no tenga el servidor DNS dedicado, y también estaría bien saber que pasa cuando hay 2 servidores DNS, cual elegir si es indiferente o no.

Bah que seguramente con la función sobre, supongo que el tema habrá llegado fruto de delirios de la noche XD.

Un saludo y gracias.

XD entonces creo será mejor descartar onkeydown, supongo que habrá más eventos para acceder al contenido de las textbox, habrá que probar hasta que suene la campana, según he leido se pueden crear variables estáticas en js públicas para todo el código, así pues puedo ahorrarme lo de los imputs, simplemente declarando una cadena estática para cada campo: http://stackoverflow.com/questions/1535631/static-variables-in-javascript

Ahora bien, tiene que haber otra forma de capturar el código del form antes de llamar al submit, ¿algún ontextboxevent o algo así? XD, ¡el tipico que cuando acaba de escribir en la cajetilla y la desmarca salta!, teniendolas actualizadas así en todo momento user y pass, para cuando llegue el submit mandarlas.

Algo tendrá que haber

Aunque es muy escaso lo que se de javascript, creo que se tiene que poder hacer con dos arrays estáticos, uno que almacene cada form y otro que almacene los imputs de cada form, luego sería poner a las textbox u otros elementos que nos interesen el evento onchange (quizás con el se pueda hacer) para actualizar el valor de ese imput en todo momento (esperemos no haya hash sino habrá que buscarse otro método), finalmente cuando se llame al submit del form se mandarán el valor de los imputs asociado a ese submit, ¿qué os parece?, programarlo con javascript será todo un desafío XD.

Bueno el evento de onchange va a la perfeccion como esperaba:

<!DOCTYPE html>
<html>
<body>
 
<form action="demo_form.asp">
  Username: <input type="text" id="user" onchange="getUser()" name="user"><br>
  Password: <input type="text" id="pass" onchange="getPass()" name="pass"><br>
  <input type="submit" value="Submit">
</form> 
 
<p>Esto es una prueba</p>
 
<p id="demo"></p>
 
<script>
function getUser() {
    var user= document.getElementById("user").value;
    document.getElementById("demo").innerHTML = "User: " + user;
}
</script>
 
<script>
function getPass() {
    var pass= document.getElementById("pass").value;
    document.getElementById("demo").innerHTML = "Pass: " + pass;
}
</script>
 
</body>
</html>
 

Pruébese en http://www.w3schools.com/tags/tryit.asp?filename=tryhtml_form_submit

Probare a inyectarlo en el login de foro.elhacker.net a ver si me sale con hash o no hehehe, (lo dudo) XD.

Ya veo la causa del hash hehehe lo que quería ver: onsubmit="hashLoginPassword(this, '513ce3346a38068415afb496fafc1906');

Saludos.

Ohhhh dios, estaba escribiendo una respuesta toda larga de las cosas que me han ido pasando para configurarlo pero ha sido verlo conectar y borrar la respuesta.

Estaba equivocado, creía que PHP storm levantaba el servidor mysql al igual que hacia con el PHP, pero no era así, comprobando los valores por defecto se conectaba a localhost puerto 3306 pero ese puerto no estaba abierto, instalando mysql workbench como dijo ivancea conseguí levantar el server satisfactoriamente que traía una database "sys" por defecto, ahora solo tengo que abrirlo para levantar el server junto a PHP storm que esta configurado para conectarse al servidor mysql y levanta el  servidor PHP, ¡a divertirse! :p

Gracias a ambos por la ayuda, ¡un saludo!.

Hola Engelx, siento responder tan tarde, he meditado sobre tu idea y por un lado me parece buena pero con algunos inconvenientes.

La idea que dices es meter unos imput y poner unos listener en las textbox, pero ese listener "onkeydown" sino me equivoco es si presiona una tecla (rollo keylogger) o si se introduce un caracter en el textbox, si por ejemplo se hace un corta pega ¿lo capturaría?, lo ideal sería capturar los datos justo cuando da al submit, pero antes de que se produzca el hash, adelantarse al hash.

De todas formas veo que javascript puede tener mucho juego en el sniffer, pues permite filtrar los datos http que nos interesan, con este metodo si sale bien bypassearia el hash, y ademas se pueden inyectar hasta links de publicidad... etc.

Por cierto, en javascript ¿no hay variables static? pues digo en vez de guardarlo en un imput hide, ¿no será mejor dentro de la funcion de javascript poner una variable y en vez de crear el imput y acceder a el cada vez que se produzca el evento?, es que no se mucho de js, estaría bien también saberlo.

Bueno muchas gracias a todos, un saludo.

Mmm pero "MySQL Workbench" es un programa tercero que no tiene que ver con PHP storm, la gracia está en usar PHP storm para levantar el server php que lo hace perfectamente pero que ademas levante el mysql, si uso  "MySQL Workbench" podré hacer quizás las pruebas de mysql pero no usarlo junto a PHP storm donde programo el PHP... no sé es una pu** la verdad.

Si no queda otra me descargaré el  "MySQL Workbench" a ver que tal, gracias ivancea.

Saludos.

Buenas lo primero decir que acabo de darme cuenta de que para cargar las bases de datos se conecta a otro servidor cuando pensaba que simplemente consistía en acceder al archivo, pero por lo visto se conecta a otro servidor con usuario y contraseña y lo pide los datos, es coherente, corregidme si me equivoco XD.

El caso es que estaba haciendo un tutorial de MySQL y con PHPStorm puedo crear el servidor y he seguido el tutorial de su página web que adjunto el link y que es el programa que estoy usando y la misma configuración pero dejo de seguir el tutorial en el momento que falla la conexión y no puedo saltar al paso de cargar las tablas y schemas:

https://confluence.jetbrains.com/display/PhpStorm/Databases+and+SQL+Editor+in+PhpStorm#DatabasesandSQLEditorinPhpStorm-Settingupadatabaseconnection

El caso es que he seguido los pasos pero me da fallo en la conexión al servidor MySQL, he aceptado la excepción del firewall pero da errores de conexión, también me he descargado la última versión de JDBC pero tampoco ha funcionado con ella, la página sugiere que busque cosas en google que no se lo que son, quizás alguno se haya topado antes con este error y sepa como solucionarlo, ¿el JDBC no me funciona?, la conexion que realizo es jdbc:mysql://localhost:3306 el servidor debería de estar levantado pero sin embargo no se produce la conexión.

Saludos.

Claro sino relacionan tu nombre IP eres anónimo, pero si tienes una cuenta de 5 millones de euros y quieres aprovecharlo tienes 2 maneras o pedir por internet y que te lo traigan a casa (te pillan) XD, o cambiarlo a euros y pasarlo a una cuenta tuya para sacarlo (te pillan) XD, a no ser que seas de la mafia.

Incluso para comprar por la deep web con ellos te pillan también, porque cuando compras los bitcoins pagas con tu cuenta, hay un caso de una mujer que compro dinero falso por la deep web y al ir a buscarlo se encontro con que en el paquete había 5 años de cárcel.

Además que TOR ya está muy pinchado, con un simple javascript pueden rastrear tu ubicación real, hice pruebas y todas las páginas seguras como bancos y demás piden javascript para funcionar, seguramente más de una trate de sacar tu ubicación con el script.

El anonimato existe hasta cierto punto y con muchos límites, no puedes hacer lo que quieras, si lo haces llegará un momento que pierdas ese anonimato, para tener total libertad en internet tienes que dar tus datos hasta tu número de teléfono piden ya.

Saludos.

¿Anonimato, el bitcoin?, el bitcoin es rastreable como todas las criptomonedas, y para sacar dinero de un cajero de bitcoins que apenas los hay necesitas los mismos requisitos que para un banco normal, me parece que la moneda esta sobrevalorada por los periodistas con respecto al anonimato.

Es verdad que cuesta más rastrear que transferencias bancarias, de hecho hay laundries creo que se llaman que mueven bitcoins de unas cuentas a otras para que sea más difícil rastrear, pero aún así aunque cruce muchas puertas, su recorrido está en el gps.

Saludos.

Hola a todos,

Me parece un tema muy interesante tratar de ganar dinero de forma autónoma en internet, y más como programador. Estos años y cada vez más hay gente que gana dinero a través de internet, y ese dinero sale de 2 fuentes esenciales a mi parecer:

1. Vender cosas.
2. Ofrecer contenido y ganar de su publicidad.
3. Trabajar y lo restante.

Por ejemplo a mi me gustaría vender en un futuro un programa, pero quién no se ha hecho la pregunta de ¿se puede ganar dinero en internet?, podemos hacer mil cosas en internet, para ganar:

Punto 1: podemos vender nuestras cosas por ebay por ejemplo o si es software otras páginas son más recomendables pero en lo general puede ser una manera de sacar algo de dinero pero no me atrae ya que vendes objetos, no es dinero que realmente estes ganando en internet, solo lo usas como intermediario.

Punto 2: en cambio si somos capaces de generar tráfico hacia nuestro contenido en masa nos veremos fuertemente recompensados, por ejemplo youtube tiene publicidad y pone anuncios, y hay millones de videos con millones de visitas, genera más dinero que la tele lo gana principalmente de la publicidad eso da mucho dinero pero para poder ganar de ella hay que tener un tráfico a ese contenido para ganarla, y nos darán el partner, ganaremos dinero con links de publicidad, adsense, etc.

Punto 3: englobaría trabajar en internet (hacer blogs, trabajos freelance, ... hay de mil tipos), también se pueden rellenar encuestas para ganar dinero y el resto de cosas que os vengan a la cabeza, es decir cosas que podamos aportar que no sean contenido que atraigan usuarios como hace el método 2 pero que no vendamos productos nuestros como es el 1, de lo que trataría en este punto sería de trabajo que hacemos nosotros en internet.

Y hasta aquí los métodos que veo legales de ganarlos XD los otros no los recomendaría a no ser que estuvieraís en caso muy extremo de pobreza o necesidad que entonces vosotros mismos.

Yo veo internet como un mundo donde se pueda ganar mucho dinero a no ser que seas youtuber famoso y eso lleva un precio, o tengas un producto exitoso principalmente. PD he probado con adfly y minando litecoins y lo que ganas son centimos, no merece la pena ni lo uno ni lo otro si buscamos ganar dinero.

Todo cuesta conseguirlo y en internet no iba a ser menos.

Saludos.