elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


  Mostrar Mensajes
Páginas: 1 ... 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 [79] 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 ... 456
781  Programación / Desarrollo Web / Re: configuración correcta de apache virtual hosts (name based) en: 22 Agosto 2016, 02:35 am
Para eso existe el ServerAlias:

Intenta escribir cualquier código mal escrito para que te arroje un error, despues reinicia el servidor apache y si no te da error es porque no está incluyendo el host virtual.

De todas maneras te recomiendo crear una carpeta llamada sites-available y otra llamada sites-enabled, entonces tus archivos de host virtuales los pones en sites-available y en sites-enabled creas el enlace simbolico de los host virtuales que quieres habilitar y en el httpd.conf o apache2.conf le indicas un include global: IncludeOptional sites-enabled/*.conf

Por otro lado, si esto esta bien incluido puedes tener mas de un problema, por ejemplo que no tengas establecido los archivos indices por defecto, que el -indexes no este fuera de los host virtuales, que no este habilitado php (si es que estas intentando cargar un indice php) o que no este funcionando correctamente el modulo cgi (si estas intentando cargar un indice pl, sh, bin, o lo que sea)

Saludos.
782  Programación / Desarrollo Web / Re: Formularios en Google Form Drive en: 22 Agosto 2016, 02:25 am
Bootstrap a ojos cerrados. Usa los CDN.

http://getbootstrap.com/css/
http://getbootstrap.com/components/

Acá el CDN: https://www.bootstrapcdn.com/

También te recomiendo Fonts awesome para vectorizar iconos, especiales para retina display:
http://fontawesome.io/
Acá el CDN: https://www.bootstrapcdn.com/fontawesome/

Y para hacerte la vida mas facil jQuery:
https://code.jquery.com/

Saludos.
783  Programación / Desarrollo Web / Re: Puertos y NodeJS en: 22 Agosto 2016, 02:21 am
Pues tienes dos opciones, o configuras la app para que escuche por el puerto 80 o usas un reverse proxy.

Normalmente si tu app va a ser la unica app en todo el servidor entonces usa el 80, pero esto quiere decir que no podrás tener mas apps funcionando.

Para evitar esto lo que se hace es instalar apache o el servidor http que desees y debes configurar un reverse proxy, ¿que significa?, significa que tu apache correrá en el puerto 80 y tu app en el 8080, pero tu servidor http va a tener una configuración para que el usuario cuando ingrese a http://demo.com/ el servidor web vaya a consultar por debajo a tu app con node, es como crear un puente, el usuario consulta al servidor, el servidor consulta a la app al puerto 8080 y tu app le responderá al servidor y el servidor al usuario.

¿Cómo se logra esto?, acá algunos tutoriales:

http://stackoverflow.com/questions/14259321/apache-node-js-mod-proxy-how-to-route-one-domain-to-3000-and-another-to-8
http://www.codingtricks.biz/run-nodejs-application-apache/
https://www.digitalocean.com/community/questions/how-to-run-nodejs-with-apache-for-ubuntu-12-04

¿Cómo seguir buscando?, en google por "Nodejs + apache reverse proxy"

Ahora, también hay una tercera opción pero es mas compleja y necesita mas conocimientos y es usando Phusion Passenger:
https://github.com/phusion/passenger/wiki/Phusion-Passenger:-Node.js-tutorial
https://www.phusionpassenger.com/library/walkthroughs/deploy/nodejs/
https://www.phusionpassenger.com/library/walkthroughs/basics/nodejs/fundamental_concepts.html

Lo que hace esto es crear un puente de tipo CGI entre apache y node tal como se logra con apache + php pero este driver hace posible cargar la ejecución de varios lenguajes de programación dentro del mismo módulo (passenger) tales como: nodejs y ruby on rails, yo lo uso para publicar apps en rails pero no es muy cómodo, especialmente cuando debes instalar algunas dependencias desde rvm (administrador de versiones de rails) y no desde el repositorio del sistema operativo, pero no se si será igual en node.

De todas las alternativas te recomiendo hacer lo del reverse proxy, es lo que la gran mayoría hace, es cómodo y sirve para múltiples proyectos a futuro sin tener que realizar instalaciones especiales por proyecto.

Ahora, hay una cuarta opción pero es aun mas compleja xD y es usando contenedores LXD o Docker y desde ahi publicar con el reverse proxy con apache, pero ahi si necesitas mas conocimientos. De todas maneras si te interesa:
https://nodejs.org/en/docs/guides/nodejs-docker-webapp/
https://www.npmjs.com/package/node-lxd
http://www.infoworld.com/article/2843865/virtualization/canonicals-lxd-turns-docker-into-vm.html

Saludos.
784  Programación / Desarrollo Web / Re: package.json en: 22 Agosto 2016, 02:09 am
En el directorio raíz del proyecto.

Saludos.
785  Seguridad Informática / Bugs y Exploits / Re: Problemas de seguridad en HTML5 webrtc permite resolver tu ip local en: 20 Agosto 2016, 17:38 pm
@WHK, interesante post, pero hagamos algo mas profundo si es posible listar las infterfaces observando las lineas de codigo:

Código:
document.getElementById('list').innerHTML = "<code>ifconfig | grep inet | grep -v inet6 | cut -d\" \" -f2 | tail -n1</code>";

por que no crear un powersell para escanear red Local y/o simplemente explotar una Windows (cliente) observando el HTTML5 creaando un C&C hacia internet, mmm posteamos algunos PoC....

-berz3k.

Nopues, eso hace cuando falla xD te deja ese mensaje para que lo hagas manual
Código:
})(); else {

El que te resuelve las ip es la función en javascript :
Código:
var RTCPeerConnection = /*window.RTCPeerConnection ||*/ window.webkitRTCPeerConnection || window.mozRTCPeerConnection;



Muy ingenioso, ya lo había probado en otras ocasiones pero jamas me había resultado, de hecho lo había intentado usando las imágenes del apache que vienen por defecto también pero jamas me había funcionado :-/

Lo último que he estado viendo es tratar de explotar una ejecucion de un js fuera del origen del sitio desde donde se comenzó a ejecutar y es por un bug en firefox pero aun no lo logro explotar xD me restringe todo, ni si quiera un alert puedo ejecutar y es porque queda como en una especie de sanbox adicional.
786  Seguridad Informática / Bugs y Exploits / Problemas de seguridad en HTML5 webrtc permite resolver tu ip local en: 17 Agosto 2016, 05:30 am
He estado leyendo un post de un blog muy interesante y se trata de que utilizando el objeto webrtc de HTML5 es posible obtener las ips locales de todas tus interfaces de red:

http://hacking.ventures/local-ip-discovery-with-html5-webrtc-security-and-privacy-risk/

Acá una prueba de concepto: http://net.ipcalf.com/ al ingresar te muestra todas tus ips locales, a mi me mostró la que me asignó mi router, la del virtualbox y de una vpn local.

Acá el código fuente que han utilizado (en javascript):
Código
  1. // NOTE: window.RTCPeerConnection is "not a constructor" in FF22/23
  2. var RTCPeerConnection = /*window.RTCPeerConnection ||*/ window.webkitRTCPeerConnection || window.mozRTCPeerConnection;
  3.  
  4. if (RTCPeerConnection) (function () {
  5.    var rtc = new RTCPeerConnection({iceServers:[]});
  6.    if (1 || window.mozRTCPeerConnection) {      // FF [and now Chrome!] needs a channel/stream to proceed
  7.        rtc.createDataChannel('', {reliable:false});
  8.    };
  9.  
  10.    rtc.onicecandidate = function (evt) {
  11.        // convert the candidate to SDP so we can run it through our general parser
  12.        // see https://twitter.com/lancestout/status/525796175425720320 for details
  13.        if (evt.candidate) grepSDP("a="+evt.candidate.candidate);
  14.    };
  15.    rtc.createOffer(function (offerDesc) {
  16.        grepSDP(offerDesc.sdp);
  17.        rtc.setLocalDescription(offerDesc);
  18.    }, function (e) { console.warn("offer failed", e); });
  19.  
  20.  
  21.    var addrs = Object.create(null);
  22.    addrs["0.0.0.0"] = false;
  23.    function updateDisplay(newAddr) {
  24.        if (newAddr in addrs) return;
  25.        else addrs[newAddr] = true;
  26.        var displayAddrs = Object.keys(addrs).filter(function (k) { return addrs[k]; });
  27.        document.getElementById('list').textContent = displayAddrs.join(" or perhaps ") || "n/a";
  28.    }
  29.  
  30.    function grepSDP(sdp) {
  31.        var hosts = [];
  32.        sdp.split('\r\n').forEach(function (line) { // c.f. http://tools.ietf.org/html/rfc4566#page-39
  33.            if (~line.indexOf("a=candidate")) {     // http://tools.ietf.org/html/rfc4566#section-5.13
  34.                var parts = line.split(' '),        // http://tools.ietf.org/html/rfc5245#section-15.1
  35.                    addr = parts[4],
  36.                    type = parts[7];
  37.                if (type === 'host') updateDisplay(addr);
  38.            } else if (~line.indexOf("c=")) {       // http://tools.ietf.org/html/rfc4566#section-5.7
  39.                var parts = line.split(' '),
  40.                    addr = parts[2];
  41.                updateDisplay(addr);
  42.            }
  43.        });
  44.    }
  45. })(); else {
  46.    document.getElementById('list').innerHTML = "<code>ifconfig | grep inet | grep -v inet6 | cut -d\" \" -f2 | tail -n1</code>";
  47.    document.getElementById('list').nextSibling.textContent = "In Chrome and Firefox your IP should display automatically, by the power of WebRTCskull.";
  48. }




Local IP discovery with HTML5 WebRTC: Security and privacy risk?

With the progression of HTML5 WebRTC, browsers are getting ever closer to making pluginless video conferencing a reality. One feature of WebRTC is the ability to discover the local IP addresses of the browsing machine. Does that put us at an increased risk?

Recently I stumbled across Nathan Vander Wilt’s net.ipcalf.com. When opened from a relatively new version of Chrome or Firefox, your computer’s local IP addresses should present itself.

I’ve coded up another example, which attempts to use WebRTC to find your local IPs, and then probe for other live hosts on your network(s).

Others will likely cover the usefulness of these APIs, so I will — for the sake of argument — comment on the tinfoilhat-y perspective. Bear with me.

Privacy concerns

I know for a fact that some people use multiple browsers on the same PC, in order to separate identities or browsing profiles. These people might browse Reddit’s cute-cat-picture-subreddits with Firefox and the programming subreddits with Chrome. From the web server’s perspective, both browsers will likely have the same public IP address, but their headers, tracking cookies and whatnot will clearly differ.

local-network

With the WebRTC local IP discovery technique, those interested in tracking you, be that ad agencies or some spy organization, will be able to do make connections between browsers based on a combination of public and local IP. If they for whatever reason can tie an identity to one browser, they will probably assume that the same person is hiding behind the second one.

There’s also a risk that the local IP info can aid in identification between public IPs. Let’s say that you use some VPN service, or Tor, whenever you surf cute cat pictures, but you use the same browser. EFF’s Panopticlick tells the story of how each browser is pretty much unique, based on HTTP header fingerprinting and so forth. Add local IP addresses, or even subnets to circumvent DHCP lease times, and your browser / PC is even more unique. And by unique, I mean trackable.

Security concerns

Consider some evil page which, based on the local IP returned from the WebRTC technique, starts scanning devices on your LAN. Let’s say your IP is 10.0.8.13, then the evil javascript could start out by guessing that your router is at 10.0.8.1. Then let’s move on to assume that your router, which probably hasn’t had it’s firmware upgraded for a while, has some half-assed web interface, which is accessible from your LAN.

The chance of this router being remote exploitable — that is from your public IP — isn’t huge. It has happened, but it doesn’t happen that often. The chance of there still being some obscure XSS flaw hidden in there somewhere, however, is much greater. So what if this evil page, which has now identified that your router is on 10.0.8.1, and figured out which software it runs, then goes on to exploit one of the XSS vulnerabilities — and adds some evil person as remote admin?

Now this doesn’t have to be your router. It would be fairly trivial for a javascript to discover which hosts are up on your local network — I’ve had great luck doing timed HTTPS-request against non-HTTPS ports on IPs to do just that. With this information, the evil page can go on to test the discovered hosts for a plethora of vulnerabilities, based on simple fingerprinting. That could do all kinds of damage.

I just put this to the test on an office network I am part of, which happens to house an old Canon printer. I’m pretty sure it predates the pyramids — but at the very least the dawn of security bugs, because it will do pretty much exactly what a rogue javascript tells it to do.

So, yeah, your printer is now part of a botnet, and is routinely DDoS-ing powerplants in Iran. Congratulations.

But what does it all mean?

So there are privacy concerns, and the feature can at least make local exploitation easier for an attacker.

On the other hand, there are bigger privacy concerns around today (yes I’m talking to you, NSA), and from a security perspective not yielding the ip is arguably security through obscurity.

So I’ll let you lot make up your own minds. My tinfoil hat stays on.
787  Foros Generales / Noticias / Re: Dead line para google host , no mas hosting en: 11 Agosto 2016, 04:56 am
jajajajaja vaya, si que estas bien jodido xD mas lo que te has liado con tu app en google drive y te dicen que en menos de 30 dias tu nuevo y flameante sitio en drive va a dejar de funcionar xD

Que pasará con tu script, seguirá funcionando?

Recuerdo una ves que hize un script que sincrnizaba google reader con smf y en menos de un mes despues de haberlo terminado cerraron las puertas de google reader via rss xD
788  Seguridad Informática / Hacking Wireless / Re: Donde comprar una antena wifi militar de largo alcance en: 7 Agosto 2016, 03:11 am
Lo de "Yo que tu tiro un cable de telefono de un punto al otro estirados por el suelo (cuidado con los cruces) y lo tapo con huincha aisladora negra, ahora si necesitas estabilidad puedes hacer redundancia: dos cables de telefono uno junto al otro." era broma ¬¬
789  Seguridad Informática / Hacking Wireless / Re: Donde comprar una antena wifi militar de largo alcance en: 4 Agosto 2016, 03:52 am
Yo que tu tiro un cable de telefono de un punto al otro estirados por el suelo (cuidado con los cruces) y lo tapo con huincha aisladora negra, ahora si necesitas estabilidad puedes hacer redundancia: dos cables de telefono uno junto al otro.

Yo creo que necesitas algo así: http://www.taringa.net/post/imagenes/5266845/Antena-Gigante-Wifi-Externa-Wow.html o si no derechamente algo así: http://www.bbpelectronica.com/antena.jpg o asi: https://i.ytimg.com/vi/InQrqlkvOHc/hqdefault.jpg

Ahora, mira esto:
http://spanish.topjammer.com/sell-3538988-5-bands-1000w-high-power-jammer-block-gsm-3g-4g-wifi-vehicle-prison-military-large-venue.html#.V6KhqO1k_CI
Funciona a 5 bandas 1000w

Mira, este es para wifi de 100dbi https://spanish.alibaba.com/product-gs/outdoor-best-signal-receiver-wifi-antenna-with-high-quality-60156847739.html estos los usan en el metro de mi pais, hay otros que se ven mucho mas grandes que esos, supongo que son de aun mas largo alcance, quien sabe, pero son rectangulares y son del porte como de una persona y estan pegadas al techo del andén.
790  Programación / Programación General / Re: ¿Cómo debería calcular la posicion de un objeto con zoom? en: 1 Agosto 2016, 01:04 am
Jajaja vale gracias de todas maneras :P
Páginas: 1 ... 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 [79] 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 ... 456
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines