Quería ponerlo en mi lap para probar algunos códigos pero no pude:



Descargué 4 veces un iso de la web de microsoft y la setup siempre me decia lo mismo, que los archivos eran corruptos porque no pudieron ser verificados.



Me bajé la descarga alternativa que son 4 archivos rar de 700 mb y cuando descomprimí el iso el winrar me decia que la parte 3 estaba corrupta

Busqué en google y hay mucha gente que tiene el mismo problema y algunos dan como solución bajar el iso desde la web de microsofty hacer la reinstalación pero yo ya me lo bajé 4 veces desde la web de microsoft xD.
Creo que fue una falla nativa del software por un error de programación o algo similar porque está bién raro.

El iso me lo bajé desde acá:
http://go.microsoft.com/fwlink/?LinkID=165572

¿Alguien sabe como solucionar este problema?
o si no me bajo uno por torrent con su crack y listo  

Url de aviso no significa donde lo reportaron sino donde se publicó anteriormente.
Todos los mensajes que no tengan una ur válida de aviso aunque sea un blog en wordpress o blogger, da igual, será eliminado este lunes.

El tema ha sido movido a Bases de Datos.

https://foro.elhacker.net/index.php?topic=280794.0

La idea de este post es poder ir recopilando textos y videos externos al foro que nos puedan servir de referencia para aprender mas sobre la seguridad a nivel web.

• Estos enlaces externos que son documentación deben tener un contenido concreto sobre una idea y en lo posible materializado en archovos txt, pdf, doc, etc.
• No enlazar temas de foros externos ni temas de debate similar, solamente documentación concreta y finalizada.
  
• También hay que recordar que en algunos casos puede estar prohibida la reproducción de un documento o video debido al copyright, en ese caso es preferible no enlazar en este lugar.
• Dejar en claro el idioma del documento y de que se trata.
• Cualquier post sobre documentación externa que no esté primero en este tema será movido o si no eliminado para poder llevar un mejor orden de cada post.

Si alguien tiene duda sobre algún texto o video y quiere debatir sobre ello puede crear un nuevo tema fuera de este.

Mucha gente anda por todos lados buscando orientación de como comenzar a aprender esto de la seguridad a nivel WEB.

1.
Lo primero que debes tener en claro es que es lo que realmente deseas ser o hacer, si lo que quieres es ir por internet y tumbar cualquier servidor que se te cruze por delante entonces estás en el lugar equibocado.

2.
Lo segundo que necesitas antes de comenzar cualquier cosa es entender que es ser ético, tener una madurez mental mínima, ser autodidacta, no esperar a que la gente haga todo por ti y saber hacer buenas preguntas.

¿Porqué ser ético y tener una madurez mental mínima?
Imagina si la gente que sabe sobre seguridad a nivel web comienza a desmadrar cada sitio que visita o se le cruza o mejor piensa que te compras un hosting con dinero propio y pones mucho esfuerzo en montar tu foro o portal para que alguien venga y te lo tumbe al primer dia... lo reparas y al tercer dia lo mismo .
Decir "¿Como puedo defacear una web?" es muy similar a la frase "¿Como puedo hacearle el hotmail a mi novia?" debido a muchas cosas, primero que nada pensar por un momento que sacas con ir por la vida tumbando paginas webs, mas que fama o fortuna o mujeres lo único que vas a lograr es una visita de la policía por lo menos una ves al mes y convertirte en un delincuente informático, cosa muy diferente a decir que eres un auditor y buén programador que puede ayudar a la seguridad de un sitio web y ser reconocido por ser bueno en lo que haces en ves de ser odiado por la gente que sabe y adorado por los lamers mas grandes sobre la faz de la www.

¿Porqué ser autodidacta y no esperar a que los demas hagan las cosas por ti?
Imagina que te doy un script que lo subes a un hosting y al visualizar el archivo te ejecuta un exploit, no vas a saber como funciona por lo tanto si surge un problema no sabrás solucionarlo, tampoco podrás encontrar tus propias vulnerabilidades porque siempre vas a tener que esperar a que alguien mas los encuentre y eso no es bueno, eso es ser dependizado de la gente que si sabe y se esfuerza y son los que entienden de seguridad web, los que no son autoddactas nunca podrán surgir por si solos, por eso siempre busquen, aprendan, lean, y cuando todos los recursos de busqueda se hayan agotado entonces ahi recién pregunten a alguien que sepa mas.

¿Porqué es necesario saber hacer buenas preguntas?
Hay buenos tips para hacer una buena pregunta y una buena pregunta lleva a buenas respuestas, mientras mas mal hecha sea una pregunta también será peor la respuesta ya que puede no ser tomada en serio o causar el disgusto del que si pueda responderte de buena forma.

Una mala forma de hacer una pregunta es llenar de signos de exclamación "ayudaaaa!!!!!".
Una buena forma de hacer una pregunta es siendo específico.
Una mala pregunta es cuando pides cosas que puedes encontrar en el primer resultado en cualquier buscador como Google.
Una buena pregunta es cuando necesitas algo que no puedes encontrar con facilidad en cualquier buscador.
Una mala pregunta es hacerla con intención de querer dañar a alguien o hacerlo sin ética.
Una buena pregunta es cuando necesitas algo para una buena causa.
Una mala pregunta es cuando se acompaña con un nick que tiene demasiados carácteres y simbolos raros.
Una buena pregunta es siendo respetuoso y solicitando las cosas "por favor" ya que al final nadie te va a cobrar por la respuesta que necesitas.

3.
Ahora si, después de todo lo principal lo que necesitas es entender el lenguaje WEB, o sea saber programar.
¿Si no entiendes como funciona una página web entonces como quieres comprender como encontrar una falla?

Lenguajes recomendados para aprender:
HTML (Obligatorio)
PHP
ASP
SQL general (Obligatorio)
MySQL
MSSQL (Opcional)
javascript (Obligatorio)
HTTP (Opcional)

Lo mas importante es saber HTML ya que con eso puedes entender como funciona la mayoría de los ataques a nivel cliente y dependiendo el lenguaje en que esté hecho el sitio WEB necesitarás aprender ya sea php, asp, cgi/perl, python, etc etc.
Es necesatio aprender lenguaje SQL para tener la báse de lenguajes derivados tales como MSSQL y MySQL.
De forma opcional puedes aprender como funciona el protocolo HTTP para poder realizar test avanzados que no te permita realizar el explorador.

Este pequeño listado contiene los lenguajes WEB mas utilizados pero hay muchisimos mas, por lo tanto si quieres recién comenzar debes aprender uno por uno de esa lista.

¿Como puedo aprender php?
Lo primero que hacemos es instalar un servidor WEB, en mi caso recomendaré un pack de programas llamado XAMPP (Windows) y LAMPP (Linux) el cual contiene todo lo que necesitas para practicar:

• Apache server
• PHP
• MySQL
• FTPD
• Phpmyadmin
• SQLiteadmin

Una ves que lo instales debes localizar un directorio llamado "htdocs", "www" o "public_html" que quedará dentro del directorio del programa, ahi pondremos todas nuestras pruebas en php, mysql, etc etc.

Ahora lo único que necesitas es buscar buenos manuales de como programar en php, mysql, javascript, html, etc etc etc.

4.
Lo que yo recomiendo es aprender en la práctica, por o tanto te buscas scripts de ejemplos que puedas encontrar por ahi y los instalas en tu servidor local (el que acabas de instalar), ahora como se supone que ya aprendiste php intenta crear tus propios sistemas o scripts y cuando lo hagas te irás dando cuenta en que pueden ser vulnerables, lees sitios webs donde expongan vulnerabilidades para poder comprender como funcionan, aprende que significan los siguientes términos:
XSS
CSRF
SQL Inyeccion
CRE
Null Byte Atack
etc etc etc y con eso ya vas a tener la base para poder continuar solo a aprender todo lo que te guste.

Con el tiempo te irás dando cuenta que hay muchos sistemas públicos que contienen pequeños bugs o problemas de seguridad que puedes transformar en un riesgo de alto nivel.

Para poder comprender algunos términos básicos es recomendable dar un vistazo al diccionario ( http://foro.elhacker.net/nivel_web/diccionario_informatico_sobre_bugs_y_exploits_en_nivel_web_v10-t264007.0.html ) claro.. una ves que hayas aprendido lenguaje web

Aportes, dudas, consultas, apoyo, son bienvenidos!

He estado leyendo varias noticias del foro de noticias de las cuales ya me he encontrado con dos de ellas que solo son inocentadas pero en ningúna parte indican que lo son por lo cual cuando quiero leer una noticia no se si es verdadera o no.

Que noticias son reales? google será realmente el mas rapido en celulares? tuenti realmente cerrará? por lo menos hoy paso de leer noticias porque no se si lo que estoy leyendo es real o no.

Encontré un bug en PHP y le mandé un correo a php.net pero no parece interesarles asi que se los comento acá mejor.

El problema de seguridad en php 5.3.0, se que actualmente la versión estable de php es 5.3.1 pero estuve observando el changelog y no encontré ningún indicio de haber encontrado y reparado este problema que quiero contar.

El problema es que si inicias sesión con session_start() te crea una cookie llamada "PHPSESSID" la cual contiene un valor alfanumérico y el problema está en que si modificas el valor de dicha cookie una ves creada la sesión entonces se creará un nuevo archivo en el directorio temporal con el nombre de la cookie.

Yo entiendo que el valor máximo de carácteres de un archivo son 256 por lo tanto si le ponemos un valor al PHPSESSID de 300 carácteres se producirá un error revelando un "path disclosure" pudiendo forzar cualquier resultado.

Ejemplo:

<?php
session_start();
if($_SESSION)
 echo $_SESSION;
else
 $_SESSION = 'xx';
?>

Ahora envías la petición con tu cookie modificada:

<?php
error_reporting(0);
 
$payload =
'GET / HTTP/1.1
Host: 127.0.0.1
Connection: close
Cookie: PHPSESSID='.str_repeat('a', 500).';
 
';
 
if(!$handle = fsockopen('127.0.0.1', 80)){
 die('Error');
}else{
 fputs($handle, $payload);
 while(!feof($handle)){
  $retorno .= fread($handle, 1024);
 }
 echo nl2br(htmlspecialchars($retorno, ENT_QUOTES));
}
?>

Resultado:

Al enviar esto por correo me dijeron lo siguiente:


Y bueno, como vi que no les interesaba mucho le dije que ya no lo molestaría mas:

Probé este bug en varios servidores y comunidades muy conocidas y de los 8 servidores solo dos no reaccionaron a este problema debido a que por defecto en la configuración del servidor impiden la visualización de errores pero en todos los demás funciona bién.

Incluso puedes crear un exploit para resolver la ruta local del archivo afectado que utilize sesiones de php con session_start().

Hola, tengo una base de datos MySQL con mi web donde subo tutoriales en formato texto plano, el problema es que cuando quiero actualizar una columna pghpmyadmin me dice:

De todas formas le doy guardar y me sale este mensaje:

El tamaño total del texto son 446,5 KiB

La columna es de tipo TEXT y el motor es MyISAM.

Lo mismo pasa en el foro, si intento guardar un post muy largo solo se guarda la mitad o hasta cierto límite de carácteres.

¿Que puede ser?
El servidor no es dedicado asi que no creo poder tener acceso a las configuraciones de mysql  .

Hola, estoy haciendo un par de funciones para poder manipular mysql y sqlite desde un solo lado tratando de compatibilizar a ambos y seleccionando el uso de cada uno según el archivo de configuraciones pero tengo un par de problemas ya que como todos saben sqlite no trabaja igual que mysql.

El problema que tengo es justamente ese, tratar de compatibilizar las funciones y necesito encontrar algunos reemplazos.

El primer problema es que no puedo listar tablas con show desde sqlite tal como puedo hacerlo en mysql para poder crear el instalador y verificador de integridad de la base de datos.
En mysql hago esto:

$query = "SHOW TABLE STATUS LIKE 'xxx'";

Como puedo encontrar un reemplazo en sqlite?

Otro problema es que en mysql si haces un update a columnas que no existen dentro de una tabla entonces la función te los creará de forma automática evitando tener que cargar desde cero la base de datos nueva y lo hago así:

$query = "ALTER TABLE tabla ADD columna tipo";

Pero en Sqlite no existe el "alter" por lo tanto no puedo agregar nuevas columnas y si por x motivo despues del desarrollo de mi aplicacion quiero insertarle una columna mas tendria que pasar toda la tabla a una variable temporal en php o a un archivo serializado y crear la tabla nuevamente con las nuevas columnas y volver los datos guardados a la tabla y es demasiado trabajo para el servidor si es que llega a ser demasiado grande.

Otro problema que tengo aunque no es tan significativo es la busqueda con like %$% ya que las busquedas son cas sensitive no como mysql por lo cual las busquedas por el lado del visitante son demasiado inexactas ya que debería atinarle a las mayusculas.
Habría alguna forma de prevenir este problema tal como lo hace mysql emulando alguna función sin tener que utilizar un select * a toda la base de datos para comparar con strtolower?

Gracias.

Recopilatorio de Temas del foro de PHP del mes de Noviembre

Desarrollo de tutoriales y proyectos realizado por los usuarios

Micro Tutorial Tratamiento de imagenes en Php (N3FISTO)
http://foro.elhacker.net/php/micro_tutorial_tratamiento_de_imagenes_en_php-t276012.0.html
Clase para el manejo fácil de imagenes con GD

[Tutorial] - Login con ajax . Mysql || Php con clases || Ajax (Hadess_inf)
http://foro.elhacker.net/php/tutorial_login_con_ajax_mysql_php_con_clases_ajax-t259563.0.html


Temas interesantes

Proteger codigo Php (OHK)
http://foro.elhacker.net/php/proteger_codigo_php-t274475.0.html
Diferentes formas de proteger tu script hecho en PHP

[PHP] Codificar archivos con algoritmos reversibles. (DarkItachi)
http://foro.elhacker.net/php/php_codificar_archivos_con_algoritmos_reversibles-t273503.0.html

Script php Backup MySQL (EuroHack)
http://foro.elhacker.net/php/script_php_backup_mysql-t271748.0.html