Archive for diciembre, 2009

códigos / entidades HTML

Posted in diseño web, General on diciembre 28th, 2009 by Diego – 1 Comment

Muchas veces al crear o editar sitios nos encontramos con que ciertos caracteres no se representan como deberían, sobre todo vocales tildadas, la eñe, etc. Esto se debe a problemas con la codificación de los caracteres.

Una forma de solucionar esto es utilizar entidades html para representar los caracteres que traen problemas.
Veamos: Si tengo que mostrar la palabra esdrújula en vez de escribir dentro del código la letra con tilde como haríamos en un procesador de texto, vamos a reemplazar esa letra por un código que la represente. Con esto no se dejan dudas sobre cuál es el carácter que se debe mostrar al usuario en su navegador.

Ejemplo:   Esdrújula -> Esdrújula

Luego, necesitamos saber cuales son los códigos de cada letra o caracter. Aquí dejo los más usados.
Entidades html

nueva VULNERABILIDAD Microsoft Internet Information Services (IIS)

Posted in Actualidad, Programación, Seguridad on diciembre 28th, 2009 by Diego – 2 Comments
Microsoft Internet Information Services (IIS) – Servidor Web: Ejecución remota de código arbitrario
Se ha reportado una vulnerabilidad en Microsoft Internet Information Services (IIS) – Servidor Web que permitiría a un atacante remoto realizar ejecución remota de código arbitrario.
Versiones Afectadas
Esta vulnerabilidad ha sido confirmada en:

  • Microsoft Internet Information Services (IIS) 6 corriendo en Windows Server 2003 R2 SP2 completamente actualizado.

Nota: otras versiones también podrían estar afectadas.
Detalle
El error se provoca al no filtrar correctamente el carácter “;” en el nombre de un archivo. De este modo un atacante remoto podría subir al servidor un archivo ASP y ejecutar su contenido suplantando, por ejemplo, una imagen. Aunque IIS incorpora una medida de seguridad que evita ejecutar código cuando un archivo tiene múltiple extensión, la falla permite que si se consigue subir un archivo llamado “foto.asp;.jpg” al servidor, la aplicación lo tome como una imagen, pero en realidad se ejecute su código ASP al invocarlo.

El hecho de que un atacante pueda ejecutar código ASP arbitrario en un servidor, abre un amplio abanico de posibilidades. Dependiendo de la configuración, quedará comprometida no solo la página, sino todo el servidor que lo aloja.

Para poder aprovechar esta vulnerabilidad es necesario que el servidor permita subir archivos. El atacante sólo debe realizar un simple cambio en la extensión del nombre del archivo. Dado que muchas aplicaciones web permiten subir archivos fotográficos (por ejemplo a modo de “avatar”) el impacto en estos servidores es importante.
Impacto
El impacto de estas vulnerabilidades es ALTO.

Alerta original:
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

Hispasec:
http://www.hispasec.com/unaaldia/4080/

Microsoft:
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx

Felicidades 2009

Posted in Actualidad on diciembre 23rd, 2009 by Diego – 4 Comments

Bueno, no podía faltar en esta época festiva un saludo a todos los lectores de este blog. No voy a desearles felicidades, tranquilos.  Por lo general entran a este blog a informarse, a descubrir cosas.  En este caso tengo la respuesta a la gran pregunta de miles de chicos:

¿Dónde está Papá Noel? ¿Cuándo llega?….

read more »

Corazones 0.1.2

Posted in Programación, Seguridad, Software Libre on diciembre 20th, 2009 by Diego – 1 Comment

Bueno, luego de un finde a puro codear, tengo una nueva release de Corazones. Les cuento las novedades.

https://sourceforge.net/projects/corazones/

VERSION 0.1.2

Novedades en esta versión:

- Sistema de alerta de nuevas versiones. Al estar disponible una nueva versión, muestra un cartel ofreciendo el link de descarga. ( esto funciona mediante un ping a un txt que guarda el número de la última versión disponible.
- Agregada una nueva herramienta: Reverse DNS. Al ingresar un host o IP nos indica los sitios web alojados en el mismo servidor.
- Agregada otra nueva herramienta: Diccionarios / Brute force . Esta herramienta esta aún incompleta, pero ya ofrece 13 diccionarios selectos especialmente (no son cualquier basura) que se pueden utilizar en cualquier tipo de aplicación que necesite de ellos, por ejemplo “aircrack” o “hydra”. En próximas versiones se incluirá un script para testear fuerza bruta directamente desde Corazones.
- Nuevo sistema de “mostrar / ocultar” herramientas con JS, con un click aparecen y al darle de nuevo se cierran.

Gracias a la gente interesada que aporto scripts nuevos, ideas, etc. y a todos por el apoyo!

saludxs

Corazones 0.1.1

Posted in General, Programación, Seguridad, Software Libre on diciembre 17th, 2009 by Diego – Be the first to comment

Bueno, ya está en SourceForge una release nueva del proyecto (0.1.1)

Feature list:

# Arreglé un par de detalles menores.
# Incorporé una nueva herramienta:   Diccionarios / Brute Force
Es un gestor que permite almacenar los diccionarios y revisarlos, y en un futuro permitirá eliminar palabras repetidas, mergear diccionarios y lógicamente utilizarlos para hacer alguna prueba de fuerza bruta.

corazonesBF

Corazones Web Toolbox

Posted in Programación, Seguridad, Software Libre on diciembre 13th, 2009 by Diego – 3 Comments

Pasaron unos días desde mi último post, es que estuve ocupando mi poco tiempo libre en avanzar este nuevo proyecto, les cuento de que se trata.

Desde hace algún tiempo al leer los post de los usuarios de Diosdelared.com veo que existen muchos scripts para tareas variadas referidas a la web, pero cada uno a su modo, en distintos lenguajes, con distinta estética, etc.  Por lo que se me ocurrió nuclear esos scripts formando una toolbox. Eso es Corazones, un conjunto de herramientas para auditoría en redes y uso general.

corazones

La tarea de agrupar estos script no es tan fácil como parece, pero va tomando forma. Además no es solo agruparlos, casi todos los script tuvieron modificaciones para “pulirlos”, mejorando la usabilidad y agregando funcionalidades.

Algunas de las herramientas que ya incluye (se irán agregando más)

MAC spoofing
Este pequeño script nos acelera el uso de macchange para cambiar la dirección MAC de nuestra interfaz de red. Uno de los usos puede ser bypassear filtrado por MAC de un Access Point.

Port Scanner
Bueno, no necesita explicación, pasamos un host (local o remoto) y nos muestra los puertos abiertos.

Admin panel finder
 Esta herramienta nos ayuda a encontrar la puerta de entrada al backend de una aplicación o sitio web.

General Inyection Explorer
Esta excelente herramienta permite explotar una inyección de SQL recorriendo completamente la BD en forma visual.

MD5 multi search
Ingresando un md5 nos busca en 16 sitios distintos la palabra a la que corresponde el hash.

Metasploit Launcher
Un lanzador de la interfaz web del framework Metasploit.

Lo más importante:  este proyecto es abierto, estan bienvenidos todos los que quieran participar ya sea con sus propios scripts o como sea.
El proyecto es software libre, tiene licencia GPL. /> Se puede bajar para probarlo desde su sitio oficial en Sourceforge.

Saludxs!
Diego

AC/DC Argentina River 2009

Posted in Offtopic on diciembre 7th, 2009 by Diego – Be the first to comment

Un reciatal INCREIBLE !! la verdad la pasé muy bien.

imagescom

acdccampo

acdcrosie

ac-dc-black-ice_big