elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


  Mostrar Mensajes
Páginas: 1 ... 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 [372] 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 ... 456
3711  Seguridad Informática / Nivel Web / Re: Nuevo diccionario de bugs y exploits en nivel en: 13 Octubre 2009, 07:01 am
se le dice html inyección pero eso en realidad no existe  :P lo que haces es un XSS y se le decía y se le dice todavía inyeccion html porque puedes inyectar código html pero si le pones código javascript todavía se llamará "html" inyección?  :P
3712  Seguridad Informática / Nivel Web / Nuevo diccionario de bugs y exploits en nivel en: 13 Octubre 2009, 05:21 am
Hola les dejo un nuevo diccionario que hize para los que no conocen mucho del tema o se les escapen algunos terminos:
http://foro.elhacker.net/nivel_web/diccionario_informatico_sobre_bugs_y_exploits_en_nivel_web_v10-t264007.0.html

Cualquier duda, pregunta, consulta, asportes, demandas pueden hacerlas acá.
3713  Programación / Programación Visual Basic / Re: Obtener el id del ultimo directorio creado en: 12 Octubre 2009, 22:28 pm
XDDDD al principio serán unas 100 o 200 imagenes por sesión de fotos, después quedarán almacenados y serán miles xDD

gracias de todas formas
3714  Programación / Programación Visual Basic / Obtener el id del ultimo directorio creado en: 12 Octubre 2009, 21:16 pm
Hola, estoy haciendo un programa que guarda imagenes a un directorio, este directorio tiene un grupo de imagenes en directorios ordenados de forma numérica, por ejemplo:
imagenes/grupo1
imagenes/grupo2
imagenes/grupo3
imagenes/grupo4
etc..

el problema es que como puedo saber cual directorio corresponde después del último creado sabiendo que alguien puede modificar el nombre de algún directorio por x motivo imposibilitando utilizar las propiedades nativas de creación del directorio y evitando que el directorio 10 quede primero que el 1 y sabiendo que pueden haber directorios eliminados por lo tanto puede haber directorio 2, directorio 5, etc.

Como podría hacerlo?

Ya obtube todos los directorios de la ruta con una función que hize:

Archivos.bas
Código
  1. Public Function Obtener_Directorios(Ruta As String) As Variant
  2.  Dim Directorio As String
  3.  On Error Resume Next
  4.  Directorio = Dir(Ruta, vbDirectory)
  5.  While Directorio <> ""
  6.   Directorio = Dir
  7.   If Is_Dir(Ruta & Directorio) Then
  8.    Obtener_Directorios = Obtener_Directorios & Directorio & ","
  9.   End If
  10.  Wend
  11.  Obtener_Directorios = Split(Obtener_Directorios, ",")
  12. End Function

Pero ahora no se como ordenarlos de forma alfabetica y numérica  :P
3715  Programación / PHP / Re: Ayuda con formulario Zend framework en: 12 Octubre 2009, 01:12 am
Hola, podrías utilizar htmlspecialchars para mostrar información y evitar el xss

Código
  1. <?php
  2. $form = $this->getAddCommentForm();
  3. if($this->getRequest()->isPost ()){
  4.  if ($form->isValid($_POST)){
  5.   $values = $form->getValues();
  6.   $this->view->values = $values;
  7.   //otras cosas
  8.  }
  9. }
  10. $this->view->title = 'Comentarios';
  11. $this->view->form = $form;
  12.  
  13. ///
  14.  
  15. if($this->values){ ?>
  16.  <h3>Has enviado los siguientes valores:</h3> 
  17.  <ul>
  18.  <?php
  19.   foreach ($this->values as $value){
  20.    echo '<li>' .htmlspecialchars($value, ENT_QUOTES).'</li>';
  21.   }
  22.  ?>
  23.  </ul>
  24. <?php 
  25.  } 
  26. echo $this->form;
  27. ?>

Ahora si no te quieres complicar la vida puedes decir:
Código
  1. <?php
  2.  if($_POST){
  3.   foreach($_POST as $variable => $valor){
  4.    echo '* '.htmlspecialchars($variable, ENT_QUOTES).' :: '.htmlspecialcgars($valor, ENT_QUOTES).'<br />';
  5.   }
  6.  echo '<plaintext>';
  7.  print_r($_POST);
  8.  }
  9. ?>
3716  Foros Generales / Sugerencias y dudas sobre el Foro / Re: [IDEA Y SUGERENCIA] Inicio de un IRC para elhacker.net en: 11 Octubre 2009, 23:54 pm
Cita de: ∀(∅) ∃ ((∅)Comp) en 11 Octubre 2009, 23:06 pm
O_O‼ un irc del hacker

Me dejan entrar para preguntar como robar correos hotmail  ♪^_^♪ verdad??

No se por que se burlan de los que preguntan eso, los servidores de hotmail estan con algun BSD y entrar a esos no ha de ser facil  :)

Ese problema de filtrar gente que entra a hacer esas clases de preguntas ya se penso y se solucionó.
3717  Seguridad Informática / Nivel Web / Re: ¿Es mi código seguro? en: 11 Octubre 2009, 23:29 pm
Citar
Pongo de usuario:

-1' UNION UPDATE jugadores SET passphrase='202cb962ac59075b964b07152d234b70' WHERE usuario='admin

Porque no puedes hacer un update dentro de un select  :P

http://foro.elhacker.net/nivel_web/inyeccion_sql_mysql_update_dentro_de_un_select-t241813.0.html

todo eso está en el mismo enace que te di mas arriba  :P.

Lo que puedes hacer son dos cosas:

1. Leer todos esos enlaces y documentarte mas sobre seguridad web para entender que debes aplicar el filtro que te dijo nakp.
2. aplicar el filtro que te dijo nakp sin leer nada.
3718  Programación / PHP / Re: Mostrar lo que tiene copiado en: 11 Octubre 2009, 22:32 pm
Con ‭‬javascript copias al portapapeles utilizando window.clipboardData.setData() y lo mandas por XMLHttp via POSTdata a tu PHP y eso es todo, ahi despues lo procesas con $_POST[].
3719  Seguridad Informática / Nivel Web / Re: ¿Es mi código seguro? en: 11 Octubre 2009, 22:21 pm
De usuario pongo esto:

admin' union select 'admin','e10adc3949ba59abbe56e057f20f883e',3,4,'5

Por lo tanto le hará select a los datos del administrador y devolverá user admin y pass el md5 de "123456", asi que de pass le pongo 123456 y ya soy admin ^^

Esto se parece a un reto que existe en el warzone xD

En el caso de:
Citar
Suponiendo que usuario= ' OR 1=1
$consulta=mysql_query("SELECT usuario, passphrase FROM jugadores WHERE usuario=' ' OR 1=1") or die(mysql_error($conexion));

no estás haciendo inyección ya que la inyeccion se la haces orientado al password no al usuario, si no hay usuario válido puede darte error como te dió a ti, para inyectar necesitas devolver un dato válido, por ejemplo al final puedes aplicar un where like username = '%' y con eso ya te jodió el sistema o incluso hacer concat sin la necesidad de hacer comillas.

http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html
http://foro.elhacker.net/seguridad/prevenir_sql_injection-t261480.0.html
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_71009-t244090.0.html
3720  Programación / Programación Visual Basic / Re: Descargar todos los controles indexados en: 11 Octubre 2009, 02:32 am
genial, no lo conocía, gracias.
Páginas: 1 ... 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 [372] 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 ... 456
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines