En Enero del 2010, Ben Manyard contacto a los desarrolladores de OpenCart, para reportar un par de vulnerabilidades. Estas vulnerabilidades podrian permitir a un atacante cambiar la cuenta de pago de la instalacion y tomar control total de la aplicacion.

A este correo, el desarrollador de OpenCart Daniel Kerr, respondio burlandose de el, y pidiendole que deje de hacerle perder el tiempo.

Ben Manyard, consecuentemente publico un post en su blog: http://blog.visionsource.org/2010/01/28/opencart-csrf-vulnerability/ reportando los hechos, a lo cual en los comentarios el mismo desarrollador de OpenCart (Daniel Kerr) entro a demostrar que no solo no entendia la vulnerabilidad (diciendo que paypal, google, y todos los bancos del mundo son vulnerables a CSRF, cosa que no es verdad), sino sugiriendo que los antivirus protegian contra estos ataques (cosa que tampoco es verdad).

La discusion continuo, y Ben Manyard llego a la conclusion que la unica forma de ayudar a las personas, era haciendo un fork de OpenCart, con los parches (dado que OpenCart se nego a arreglarlas) el cual hizo.. Sinembargo no duro mucho, antes que los desarrolladores de OpenCart sabotearan su codigo, para que sus parches no pudieran funcionar (http://blog.visionsource.org/2010/03/29/opencart-secured-issue/).

Es asi, como todas estas vulnerabilidades, aun hoy en dia, se encuentran existentes en todas las instalaciones de OpenCart, sin ningun parche disponible, los desarrolladores se niegan a arreglarlas (debido a que no las entienden), y decenas de miles de usuarios se encuentran en peligro de perder cantidades considerables de dinero. (Como podemos observar al buscar Powered by OpenCart en Google).

Que recomendamos? no usar OpenCart.

Saludos!!

El Canal Ha Sido Cerrado!

No hemos tenido suficiente actividad en el canal, y decidimos dejar de mantener el servicio.

 
Un amigo esta haciendo experimentos para tratar de demostrar la existencia de la psicoquinesis, y quiere ayuda para ideas de como demostrar que no es falso.


Este es el primer video, en el siguiente demostrara que no es conveccion, al mostrar como pone sus manos en agua fria antes de iniciar el experimento, le he sugerido cambiar los materiales por papel y un palillo para evitar ideas de dilatacion de metales y magnetismo, alguna otra sugerencia?

Saludos!!


--edit--
Otra cosa que podria levantarle las cejas a mas de uno es porque cuando termina de moverla, la quita de la base? Como si no la quitara podria seguir moviendose.

Otra cosa es porque se cambia de posicion (aunque esa puede ser porque sino taparia su mano la camara), aunque dado que el sol esta de tal lado, podria hacerse un efecto similar a un radiometro de crookes por la sombra que ejerce la camara o similar.

CYH es un evento donde todos los usuarios del foro pueden participar y ganar premios y realizar todo tipo de retos

---

Hola!

Los invito a h4x0r3ar este filtro de XSS:
http://allowhtml.com/demo/

Yo lo bypasee hace rato xD

Asi que no esta muy dificil!

Los 2 que encuentren mas bypasses antes del 8 de mayo, se ganan cuentas @elhacker.net

Saludos!!

Hola!

Les vengo a proponer algo

Veran, hace tiempo, discovery channel hizo un concurso llamado I love the world, con un video, del cual salio un comic de xkcd y de ese, salio un video, y estaba pensando, que eso de pasar de imagen a video no es muy dificil con flash.. jaja

el video es este, la idea es algo similar pero sin animacion:


Entonces mi propuesta no es hacerlo igual, de I love the world, ni comic, sino algo mas como una linea de tiempo de 800 x 300, pero que pueda ser extendida cualquier cantidad de veces... simplemente uniendo varios..

Cada usuario podra mandar de 1 a 5 viñetas, e idealmente llegaremos como a 20 o mas xD y haremos una historia usando tales viñetas.. y despues lo subimos a youtube jajajaja que opinan?

Las reglas serian, que los ultimos 2 pixeles de los lados, sean completamente blancos (es decir, puedes tener un fondo disinto pero este debe verse bien considerando que los ultimos pixeles seran bancos.. vean este ejemplo de degradado:



sinembargo, pueden poner sus 5 viñetas juntas, en cuyo caso solo la primera y la ultima necesitaria el margen blanco.

pueden poner cualquier cosa xD


al final unimos las viñetas en algun orden..

y le ponemos una historia de subtitulos, con algun tema musical de fondo o yo que se.. que opinan? les gusta?

Saludos!!

puse un experimento, los que lo vean genial!

podrian llenar la encuesta cuando vean el experimento porfavor? solo chequen en temas destacados va a decir que estas participando en un experimento, y que envies feedback..

si recibe mal feedback del STAFF o de los usuarios, probablemente no se implemente..

lo veran tarde o temprano, no se preocupen!

lo que va a cambiar:
* no saldra screenshot para links internos, pero saldra algo que hara notar que es un link interno (el logo podria ser)
* links a bit.ly y cosas de esas no tendran screenshot
* links a rapidshare/megaupload, no tendran screenshot

Saludos!!

necesitamos personas que nos ayuden a algo para el IRC


solo usuarios con antiguedad menor a 6 meses o menos de 300 mensajes..

La primera:
http://twitter.com/elhackernet/status/7705370176

La segunda:
El seguidor 222 al twitter de elhacker.net ( http://twitter.com/elhackernet ) recibira una cuenta de correo @elhacker.net

La tercera:
http://foro.elhacker.net/foro_libre/se_regalan_dos_cuentas_de_correo_elhackernet-t280971.0.html;msg1386013#msg1386013

Saludos!!

Recopilatorio de Temas del foro de Nivel Web del mes de Noviembre

Proyectos

Auditoría de seguridad hacia Simple Machines Forum 2.0
http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html
Auditoria a SMF por parte del equipo de SimpleAudit de elhacker.net ( http://labs.elhacker.net/simpleaudit )

Herramientas hechas por nuestros usuarios

Script para extraer datos de bsqli en python (nacho87)
http://foro.elhacker.net/nivel_web/script_para_extraer_datos_de_bsqli_en_python-t272842.0.html
Herramienta en python para explotación de vulnerabilidades de Blind SQLinjection.

[Tool][python] Mi herramienta para SQLi en mysql
http://foro.elhacker.net/nivel_web/toolpython_mi_herramienta_para_sqli_en_mysql-t276135.0.html
Herramienta hecha con la finalidad de simplificar la explotación de vulnerabilidades de SQL injection.

Bot MySQL Search Google 2.0 (MagnoBalt)
http://foro.elhacker.net/nivel_web/bot_mysql_search_google_20-t271218.0.html
Bot que busca en google y confirma webs vulnerables a SQL injection automaticamente.

Vulnerabilidades descubiertas por nuestros usuarios

Backdoor nativo en SMF 2.0 (WHK)
http://foro.elhacker.net/nivel_web/backdoor_nativo_en_smf_20-t272107.0.html
Se encontro un backdoor en SMF 2.0 como parte de la auditoria a SMF 2.0 del equipo de Simple Audit

Exploit en osCommerce Online Merchant v2.2 RC2a (CODE:NIAL)
http://foro.elhacker.net/nivel_web/exploit_en_oscommerce_online_merchant_v22_rc2a-t274615.0.html
Vulnerabilidad de Remote File Disclosure en OsComerce

Vulnerabilidad XSS en tuenti. (braulio23)
http://foro.elhacker.net/nivel_web/vulnerabilidad_xss_en_tuenti-t272504.0.html
Se describe una vulnerabilidad encontrada en la red social tuenti

Mas que un bug o vulnerabilidad una imbecilidad (el-pollo)
http://foro.elhacker.net/nivel_web/mas_que_un_bug_o_vulnerabilidad_una_imbecilidad-t275064.0.html
Pagina web de CencoSud (chile) permite a cualquier atacante revelar la informacion de una persona desde el RUT.

xss en goear.com (el-pollo)
http://foro.elhacker.net/nivel_web/xss_en_goearcom-t273533.0.html
Se describe una vulnerabilidad de XSS y de SQLinjection encontrada en goear.com

XSS en Google Talk 1.0.0.105 (WHK)
http://foro.elhacker.net/nivel_web/xss_en_google_talk_100105-t271114.0.html
Vulnerabilidad de XSS en Google Talk descubierta por WHK

XSS encontrado en fotolog.com (fede_cp)
http://foro.elhacker.net/nivel_web/xss_encontrado_en_fotologcom-t275060.0.html
Vulnerabilidad de XSS encontrada en fotolog.

Temas interesantes
 
Usar mod_rewrite como WAF (O.G.T.)
http://foro.elhacker.net/nivel_web/usar_modrewrite_como_waf-t273394.0.html
Se describen los motivos por los cuales no se debe usar mod_rewrite como WAF, con ejemplos.
 
evitar XSS en eval(noFi#)
http://foro.elhacker.net/nivel_web/evitar_xss_en_eval-t274302.0.html
Se describe como se debe filtrar cuando se va a poner informacion en ‭‬javascript

Hackea a elhacker.net (WHK)
http://foro.elhacker.net/nivel_web/hackea_a_elhackernet_finalizado_ganador_yasion-t275475.0.html
Concurso (finalizado) de encontrar una vulnerabilidad de XSS en SMF (2 vulnerabilidades fueron encontradas).

pues warzone tiene 5 diseños por lo pronto.

el que estamos usando ahorita lo hizo azielito, pero si ustedes algun dia hicieron un diseño que nunca usaron, o tienen ganas de hacer algo interesante.. ponganlo aqui y lo pongo en warzone.

no es que warzone necesite diseños, es que creo es divertido tener muchos diseños y se van a necesitar para una prueba que se esta haciendo... pongan los que quiera asi sean geniales, interesantes, chistosos, raros, feisimos, originales, etc..

lo unico es que deben dejar espacio para el menu y el contenido pero fuera de eso, todo se vale.. el diseño debe estar en HTML.. obviamente.

solo no pondre porno o imagenes grotescas o ofensivas.. bueno..

Saludos!!