elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


  Mostrar Mensajes
Páginas: 1 2 3 4 5 6 7 8 9 10 11 [12] 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 ... 434
111  Programación / Bases de Datos / Re: Base de datos para informacion masiva? en: 9 Febrero 2020, 00:53
Citar
13 regiones, cada region tiene 15 modulos, y cada modulo utiliza 7 tablas independientes

Pues fácil, haces 7 tablas con sus columnas, le agregas una columna adicional relacional con el id del módulo, una tabla con los módulos, una tabla con las regiones y una tabla intermediaria relacional entre id de módulo y id de región. En total tendrás sólo 10 tablas.

Entonces, para saber a que módulo pertenece un registro solo le haces un where al id de módulo, y para saber a que region le pertenece un registro haces un inner join y le haces un where al id de región. De esa manera todos los registros de todos los módulos de todas las regiones estarán en esas mismas 7 tablas.

Si después necesitas obtener datos analíticos como por ejemplo cuantos registros existen por cada región tendrás que crear tablas desnormalizadas, o sea con datos planos y duplicados con contadores fijos para no tener que estar contando todo cada ves que quieras obtener un informe.

No te recomiendo hacer múltiples bases de datos, en ese caso podrías hacer particionamiento de datos sobre la base de datos (sufijos) pero tampoco te lo recomiendo ya que tu estructura no es tan grande ni compleja como para hacer esa separación, a demás tendrás que manejar permisos, optimización, administración multiplicado por tus regiones, si tu app es una sola y maneja múltiples grupos de datos puedes asociarlos dentro de una misma base de datos siempre y cuando sean parte de un mismo proyecto independiente de cuantas capas tenga.

Mira, acá te lo explico mejor: https://voca.ro/jQJ4QiDDfkc

Saludos.
112  Programación / Desarrollo Web / Re: [Pregunta]: Imprimir una variable de javascript en un title="" de html en: 7 Febrero 2020, 17:00
En jQuery:

Código
  1. <!DOCTYPE html>
  2.    <head>
  3.        <title></title>
  4.        <script>
  5.            $(document).ready(function(){
  6.  
  7.                variable = 'mi variable';
  8.  
  9.                $('#changeme')
  10.                    .mouseover(function(){
  11.                        $(this).attr('title', variable);
  12.                    })
  13.                    .text(variable); // Texto y no HTML, evita XSS
  14.            });
  15.        </script>
  16.    </head>
  17.    <body>
  18.        <p id="changeme" title="texto"></p>
  19.    </body>
  20. </html>

Recuerda que en un buen desarrollo debes separar el tipo de código, por ejemplo el código javascript debería estar en un archivo js separado del html al igual que el css.

Saludos.

113  Programación / Java / Re: Cannot establish a connection to jdbc:mysql://localhost:3306/muebleria?zeroDateT en: 7 Febrero 2020, 05:10
Hola, la próxima ves intenta no revivir temas viejos.

Talves tu problema sea el driver de MySQL, verifica la versión de MySQL si es CE o Enterprise, si es MariaDB 5 o 10, etc.

Has probado con Postgres mejor?, por otro lado, podrías probar con Spring Boot ya que trae integrado por defecto las dependencias para MySQL si lo seleccionas desde Spring Starter.

Saludos.
114  Media / Juegos y Consolas / Re: [AYUDA] Error con proyector en flash player en: 7 Febrero 2020, 00:37
Flash es una tecnología obsoleta y no recomendada, me sucede algo similar cuando quiero entrar a armorgames xD me gustan muchos juegos de ahí (este es mi favorito: https://armorgames.com/play/16/runes-of-shalak ) pero lamentablemente ningún navegador es compatible con flash.

Por defecto ningún navegador hasta donde yo se te deja instalar flash por temas de seguridad, creo que internet explorer es la excepción. Puedes probar con alguna instalación vieja de google chrome ya que ese venía con flash embebido.

Saludos.
115  Sistemas Operativos / GNU/Linux / Re: Como ver la descarga de un archivo desde internet por la terminal? en: 6 Febrero 2020, 16:28
Nopues, eso va a depender de como lo estés descargando y desde donde y desde que protocolo, por ejemplo, si descargas algo por wget puedes ir mirando el progreso, si lo haces desde un navegador web es caso imposible por el siguiente motivo:


El content length

No siempre los navegadores saben cuanto queda por descargar algo, el servidor puede estar infinitamente enviando contenido, para esto existe la cabecera http content-length el cual dice cuantos bytes debiera transferirse, de esta manera el navegador toma ese valor y le resta la cantidad de bytes descargados y saca un promedio en procentaje, si tu quisieras saber esto fuera del navegador tendrias que haber interceptado el paquete http, si usas tshark, tcpdump y similares deberás rearmar los paquetes con un buen filtro que te arroje únicamente los paquetes en plano de tu descarga, luego de eso tendrás que ir contando byte por byte, esto quiere decir que si no realizas un capturado de tráfico desde el inicio no podrás saber la longitud del contenido ni la cantidad de bytes que ya han sido transferidos.


El SSL

Otro problema es que si el contenido viaja por https entonces tendrás la complicación de tener que descifrar los paquetes y para ello deberás tomar la llave del certificado más la del storage interno de tu navegador para poder ver paquete por paquete cual es el contenido real e ir contando los bytes uno por uno ininterrumpidamente.


El rearmado de paquetes

Para hacer esto necesitas un filtro muy grande de captrado de paquetes ya que TCP sólo envía trozos de paquetes y no todo el tráfico de una ves, esto quiere decir primeramente que no puedes llegar a mitad de descarga y saber cuanto queda, sino que tendrás que crear una sesión desde el momento en que el navegador solicita el archivo y el servidor responde, a demás, debes interpretar elcontenido http, leer la cabecera y comenzar a rearmar los paquetes, por otro lado tendrás la complicación de que no puedes hacer un capturado según puertos y direcciones IP porque si el navegador WEB sigue navegando entonces tendrás m,ás tráfico asociado a la misma dirección IP y al mismo puerto, entonces tendrás que valerte por los flags de sesión de la estructura de TCP4 y no será para nada fácil.


La sandbox del navegador

Por otro lado, no puedes ir a buscar a la memoria ram el progreso del archivo ya que los navegadores modernos contienen cajas de arena que impiden que un proceso pueda acceder a la información del contenido de los sitios, contraseñas, etc, tendrías que encontrar una vulnerabilidad en el navegador para hacer esto.


Limitación del software

Por otro lado, no hay navegador WEB como Firefox que te permita saber el progreso de algo llamando a un simple comando, los navegadores no fueron diseñados para esto.


Costo v/s Beneficio

Podrías lograrlo fabricando un complemento para Firefox, es lo más fácil que se me ocurre, todo dependerá del navegador que estés usando.


Realismo

Para lo que tu quieres hacer te recomiendo descargar los archivos con wget sobre una sesión de tmux, es una sesión activa que queda viva aun despues de cerrar sesión en tu cuenta de ssh, cuando vuelves ejecutas tmux attach y vuelves a la misma ventana de la descarga que dejaste y asi sabrás cual es el progreso de tu descarga.

Saludos.
116  Seguridad Informática / Seguridad / Re: Problema legal: Demostrar borrado en: 6 Febrero 2020, 16:12
Debes aprender a formalizar cada cosa, primeramente... hay algún documento o contrato que diga explicitamente que tu tenías esos archivos? si no es así entonces nadie puede demostrar que tu tenías los archivos, por lo cual no pudiste haberlos distribuido, ais que legalmente no podrían acusarte, por otro lado, si hay un documento que dice que si tenías esos archivos entonces tenias que haber firmado un documento de tipo NDA donde tu te comprometes a la no divulgación de la información y listo, da lo mismo si habías borrado o no la información porque una cosa es que tengas los archivos y otra totalmente diferente es que tu los hayas divulgado.

Saludos.
117  Seguridad Informática / Hacking Básico / Re: Not Acceptable!, problema en ejercicios de injection SQL en: 5 Febrero 2020, 17:32
Yo lo he probado en instalaciones recientes desde repositorios para centos 7 sobre httpd, itk y mod security. Tengo algunos sitios y en ocasiones pruebo temas como estos. Lo que no funciona para la versión nueva de apache son las inyecciones de cabeceras con saltos de línea, pero en este caso es diferente, el salto de línea se encuentra codificado en urlencode por lo cual apache lo procesa sin ningún problema, el tema está en las reglas por defecto de mod security, hay un sin fin de maneras de evadir las reglas, me ha tocado hacer payloads para xss con mod security para empresas donde trabajo y no es muy dificil evadirlos.

De todas maneras creo que no es bueno divagar sobre si es posible o no hasta no tener certeza de las reglas aplicadas en el servidor. Caroxh1, tienes la dirección URL para hacer algunas pruebas? podrías enviarla por interno para compartirlo con engel ex y jugar un poco.

Saludos.
118  Seguridad Informática / Hacking Básico / Re: Not Acceptable!, problema en ejercicios de injection SQL en: 5 Febrero 2020, 03:59
El mod security lo puedes evadir con saltos de líneas y comentarios (siempre y cuando tenga las reglas por defecto), por ejemplo puedes probar con --%0a%0c

Saludos.
119  Foros Generales / Foro Libre / Re: Solicitud de protección de datos... ¿existe algo así?. en: 5 Febrero 2020, 03:52
Bueno Don Quixote o mejor dicho Elektro, has sido baneado permanentemente del foro por causas muy justificadas y ya explicadas, no puedes ingresar a un lugar yendo en contra de las mismas normas sea el lugar que sea.

Elektro ha sido baneado por insultos mayores, amenazas, abusos reiterados, violación reiterada por años a las normas del foro y demás. Hicimos todo lo posible por normalizar la situación incluso hablando personalmente con Elektro pero no es una persona de sano juicio.

Elektro, si deseas hablar sobre tu situación puedes hacerlo a traves de staff@elhacker.net o webmaster@elhacker.net , aunque de todas maneras la decisión ya se tomó y se te dieron muchas oportunidades durante ya varios años, espero que puedas cumplir con las normas del foro las cuales cuentan con mucho sentido común para mantener el buen ambiente de todos los usuarios. Si deseas hablar sobre tu baneo lo puedes hacer eres libre, pero en este foro no porque ya no se te permite hacerlo (después de años haciendolo).

Elektro, espero que puedas aprender a respetar a los demás y termines con tus amenazas y demás.

Por ahora banearé esta cuenta que has hecho ya que no debiste haber hecho una nueva.

Si algún usuario del foro quiere pedir explicaciones de este caso es libre de hacerlo enviando un mensaje a staff@elhacker.net y responderemos sin ningún tipo de problema, por otro lado, hacerlo en el foro público no está permitido (así como nunca lo ha estado desde los inicios del foro). Espero que los que tengan buen sentido común puedan comprenderlo y poder llevar un orden mejor con respecto a los temas que se tratan, esto no es censura, cualquiera puede preguntar por la situación, solo es orden y respeto por los que entran al foro buscando ayuda y conocimiento para sus proyectos o ideas.

Con respecto a la duda sobre la protección de datos creo que ya quedó más que claro, asi que cierro el tema, este será el último tema que dejo visible de Elektro, todos los demás serán eliminados sin aviso previo.

Saludos.
120  Foros Generales / Foro Libre / Re: Solicitud de protección de datos... ¿existe algo así?. en: 4 Febrero 2020, 01:37
Puedes hacerlo siempre y cuando esa persona te haya hecho un daño real, ya sea físico, psicológico o a tu imagen, si fue a tu imagen debe haber una pérdida patrimonial, si esto no es así o simplemente alguien no te agrada y ya entonces no puedes hacerlo, por lo contrario, si denuncias a alguien sin argumentos sólidos apoyados por las leyes te pueden contrademandar por la pérdida de tiempo y calumnias.

Yo que tu trataría de tomarme la vida un poco mas liviana, mucha gente importante y de prestigio mundial ha ido en caza de personas or injurias y les ha ido muy mal y han perdido un dineral. Ahora, si tienes el dinero y el tiempo suficiente para hacerlo pues está bien, es un derecho intentarlo.

Saludos.
Páginas: 1 2 3 4 5 6 7 8 9 10 11 [12] 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 ... 434
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines