Soy un psicópata
O almenos tengo más probabilidades de serlo.
Así al menos lo piensan en Vivalinux.
Iba a desahogarme escribiendo sobre el amarillismo de este portal, pero mejor salgo a la calle a cazar unos cuantos humanos....
Un saludo psicoslackers !!!
En construcción
Desde hace tiempo que ando pensando en migrar el blog. La apariencia y la administración desde ya.com me gusta, sin embargo no te permiten tener la BBDD con los post y eso me está resultando un incordio, pues me gustaría tenerlos todos (nunca se sabe).
En Agosto del 2005 inicié la andadura en ya.com tras unos problemas que tuve con blogger (hoy blogspot).
Por el momento he adquirido un hosting gratuito (no necesito más) y he reproducido las entradas del último més. Está en la siguiente dirección:
http://m313blog.es.kz/
A los que me leéis, que espero que seáis cada dia más, os pido que me déis vuestra opinión sobre el diseño actual. Durante un tiempo aqui en ya.com lo tuve con un diseño claro. El cambio al diseño oscuro que ahora lo acupa me agradó bastante, pero un nuevo giro estaría bien, ¿o no?.
Espero vuestras opiniones.
Un saludo
Eliminar el useragent en Parox Proxy
Recientemente en una auditoría la aplicación me cortaba el acceso (incluso con fines benévolos) solo por el hecho de navegarla a través del Paros Proxy. Habitualmente este tipo de filtros se basan unicamente en filtrar en base al campo useragent de la cabecera en las petriciones http:
El Servidor web, de aplicaciones, IDS, etc detectan el patrón "Paros" y bloquean el acceso.
La solución es bien sencilla, modificar el useragent para que no incluya esta información. Modificarlo en cada petición es una tarea tediosa (por no decir suicida) por lo que busqué en las opciones del Paros cómo omitir estos datos.
Mi sopresa al comprobar que no hay opciones para algo tan simple, sin embargo tenemos como solución el gugleo.
Tenemos dos opciones para resolver este pequeño problema:
1. Añadimos en la linea de comandos que ejecuta el Paros la directiva "-nouseragent", en el acceso directo, etc.
Es una forma rapida, sencilla y cómoda.
2. Somos muy frikis, es por ello que buscamos en el código fuente de Paros en la ruta "paros\src\org\parosproxy\paros\Constant.java" y en dicho fichero encontramos la directiva "USER_AGENT =".
La modificamos a nuestro antojo y voilà.
A veces uno llega tarde
Hoy gugleando veo el siguiente detalle en el changelog de phpBB 3.0.1:
# [Fix] Correctly quote db password for re-display in installer (Bug #16695 / thanks to m313 for reporting too - #s17235)
A veces uno llega tarde...
XSS en medios de comunicación
Las vulnerabilidades por Cross Site Scripting (XSS) son importantes. Sucede sin embargo que en muchos foros estos fallos son menospreciados e infravalorados.
Hay muchas maneras de aprovecharse de este tipo de vulnerabilidades: deface's, robo de cookies, ejecución de código, etc.
En este documento vamos a centrarnos en una nueva posibilidad a explotar que apenas ha sido comentada hasta la fecha. Se trata de aprovechar este tipo de vulnerabilidades en medios informativos y montar una infraestructura necesaria para publicar noticias falsas aparentemente ciertas y difundirlas con velocidad para sacar partido de las mismas obteniendo un beneficio económico a través de la venta de acciones en bolsa.
La única referencia al respecto que he conocido ha sido durante la realización de este documento y data de Marzo de este mismo año:
http://archives.neohapsis.com/archives/fulldisclosure/2008-04/0001.html
Realizaremos una prueba de concepto utilizando vulnerabilidades reales encontradas en los medios informativos Eweek y NetworkWorld.
Para llevar a cabo las pruebas crearemos un par de noticias falsas y las difundiremos de manera que las víctimas tomen estas noticias por ciertas al aparentemente provenir de los medios antes citados. La difusión de estas noticias provocan asímismo que las acciones de las empresas implicadas por la noticia varíen de valor. Anticipando este movimiento provocado (y controlado) nos beneficiaremos económicamente a través de la venta de acciones.
Las vulnerabilidades utilizadas en este documento son reales y han sido notificadas a los medios implicados antes de la publicación de este documento.
El documento puede descargarse desde la siguientes URL's:
XSS en medios de comunicación - en castellano
XSS in media comunication - en inglés
Agradecimientos:
Vicente Aceituno. Por la traducción en inglés del documento y por la idea inicial, porque la misma surgió en una conversación y no sabría decir si fue mia, suya o de ambos.
Etiquetas: xss
Slackware v12.1 stable y OSSEC v1.5
Nueva release estable de Slackware, no voy a destacar aspectos técnicos porque mi intención no es copiar el anuncio, para ello remito a la web oficial y a Open-Eslack.
Interesante la opción de estabilidad y seguridad que puede apreciarse por ejemplo en el caso de usar kde3 en lugar de aventurarse en el nuevo kde4.
Por otro lado Ossec ha sacado nueva release con importantes novedades (ver el anuncio oficial). Nuevamente he colaborado con el beta testing de la release sobre Slackware con resultados satisfactorios y me eleva muco el ego ver que aparezco en los créditos como colaborador.