Volvemos a abrir los comentarios para personas que no estén registradas.
Y quiero dar las gracias a todos nuestros suscriptores.
Dentro de poco un artículo muy interesante sobre Orange^^
Un saludo.
Feb 18
Bueno, encontré un pequeño XSS parcial en la parte de invitaciones web, esto se permite por un mal escape (realmente penoso) de la variable email (se envia por POST), curiosamente en el enlace “editar la invitación” si está escapada bien (si es que estos de tuenti, menos jugar y más progamar):
El code usado: seguridad@dimitrix.es<br><img src=http://i214.photobucket.com/albums/cc173/dimitrix-es/dexter.png>
Un saludo y gracias por leerme a todos!
Feb 12
Llegamos a los 10.000
Sin duda, daros las gracias a todos los visitantes, a todos los que nos siguen (que hay gente y todo jajaja), bueno y decir que la próxima publicación será sobre un proyecto que me llevo entre manos y que ya está casi finalizado, le llamo “Distrito Web” y se trata de hacer una web y que esa web pueda habilitarse para varios dominios apuntados y dependiendo del dominio salga el título, la descripcio, los links, el banner, un dominio u otro, un ejemplo de lo que digo es:
www.sealkila.net
www.copomusica.es
Así que dentro de poco ya publicaré el código.
Un saludo y gracias por estar ahí.
Att: Dimitrix
Feb 08
Voy a fundar una empresa y no voy a engañar a nadie, voy a decir las cosas como estan:
Necesito personal que sepa:
PHP + SQL, html (Lógico),
AJAX,
Diseño gráfico orientado a web,
Hacer SQLi (para probar nuestros propios códigos)
No hace falta saber todo, ya que el que sabe de todo, no sabe de nada.
La empresa:
El nombre de la empresa ya está claro aunque no lo haga público.
Dejar claro que no es para “ya”, las cosas de palacio van despacio, empezaremos aproximadamente en un año si Dios quiere, exisitará “a good bag money”, así que no es un sueño, pero antes de empezar hace falta tener terminado un código, ver la gente, ver donde estarán. Parece que un año es mucho pero en verdad es poco para esto.
Necesito gente de “España” principalmente, a poder ser de alguna de las “grandes ciudades”
Responderé cualquier pregunta publicante en este post, pero no por el correo, el correo es sólo para recivir los curriculums.
Nota: Muy importante, al aceptar y ser seleccionados, se os enviará un documento que tendreis que firmar y devolver (todos los gastos corren por mi parte) como “contrato de confidencialidad”.
Nota2: Seamos realistas, no penseis en ganar “mucho dinero” desde “la semana que viene”, esto será un piña y yo seré el último en cobrar si hace falta pero seamos realistas.
Nota3: Acordaros de poner los idiomas el Curriculum.
Enviar los curriculumns (y por favor no mintais mucho!) a:
Ene 23
Este código que he programado en una horita es muy simple, pero funciona genial, por lo menos para lo que está programado:
Funcionalidades:
- Buscar a personas en el Tuenti.
- No hace falta estar logeado/registrado.
- La imagen del perfil sale lo más grande posible.
- Detecta las páginas para pasar a “siguiente” y “anterior”.
Ejemplo:
Clika sobre la imagen para ver en grande.
Código:
Una vez subido el archivo PHP y cambiado el código de la cookie por el de vuestro Tuenti móvil (recordar darle a recordar) si vuestra página es:
www.tuweb.com/archivos/tuenti.php
Pues podrás ver el perfil de las personas con la variable GET “nombre”:
www.tuweb.com/archivos/tuenti.php?nombre=Claudia_Valverde
Descargar código:
http://seguridad.dimitrix.es/descargas/tuentiphp.txt
Nota:
Esto no es un gran proyecto, así que no estoy seguro si seguirlo o que, simplemente lo hice realizando unas pruebas.
Una persona me comentó que las imagenes no se ven por error en el referer, esto se arregla con “botón secundario” ver imagen.
Un saludo y muchas gracias!
Ene 22
Seguro que todos habreis visto por Internet un montón de páginas que os piden poner vuestro número de teléfono, bien, te venden de todo, desde canciones hasta horoscopos, legalmente necesitan una aceptación y que sea tuyo el número de teléfono, para ello, ellos envían un SMS con un código al número que le indiques, pero… ¿Y si no es tu móvil?
Como es lógico, habrá un número máximo de SMS que envien (al día), el problema es que ese número va desde 5 hasta ningún límite (realmente hay páginas que no les vi nunca el límite).
Pero claro… no vamos a estar todo el rato, haciendo un ridículo test o poniendo el nombre de nuestra/o chica/o, la verdad es que no hace falta ya que en estos servidores también está abierto el GET, así que en vez de poner cada vez el número de teléfono que queremos bombardear, lo podremos dejar en algo así:
http://www.servidor.com/send.php?mode=signup&phone=6********
Genial, ahora nos ha quedado una URL que cada vez que la visitemos estaremos enviando un SMS, así que ahora sólo queda automatizar esto, para ello iremos a:
http://seguridad.dimitrix.es/index.php/multivisitas/
Con esta herramienta ponemos la URL y las veces que quieres que se envíen el SMS y listos.
Ahora colocaré dos páginas vulverable (son todas de este tipo):
Flycell (Límite 25 SMS):
http://www.flycell.es/offer/index.php?mode=signup&ref=\&smsId=510&object=000000^000&termsAccept=1&x=28&y=22&phone[]=6********
SMS-Gratuito (Límite 5 SMS):
http://www.sms-gratuito.es/subscribe.php?telemovel=6********&operator=movistar&telemovel_destino=61234578&mensagem=%22%3E
———————————————
Recordar, que esto es sólo informativo, no queremos que hagais nada malo chicos 
Ene 02
Bueno para empezar el año os quería preparar una serie de XSS en distintas webs de partídos políticos, pero por la escasez de tiempo no he podido profundizar en este tema, así que os dejo estos dos:
PSOE
El primer XSS se encuentra en la parte de Suscripciones y aunque en realidad se centra en uno, hay muchos.
http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href=[XSS]
Otra cosa que encontré “escarbando” en la web del psoe es el panel administrador de tal:
https://www.psoe.es/generic/login_private.jsp
Y por último en el código fuente del panel administrador podremos ver un comentario de un botón entrar que pone “entrar-rojo”
ESPAÑA 2000
En la web de España 2000 queda un XSS muy muy viejo, que aunque ha cambiado la web, se puede acceder igualmente:
http://www.esp2000.org/v3/foto_grande.php?recordID=2862&cuerpo_img=[XSS]
Como curiosidad en la web de España 2000, si creamos un error en la web con por ejemplo el famoso “> aparecerá de título: “Welcome to the Frontpage”
http://esp2000.org/index.php?page=shop.brow%22%3Ese&category_id=5&vmcchk=1&option=com_virtuemart&Itemid=1
Saludos y hasta la próxima!
Dic 29
Desde este blog os deseo a todos unas felices navidades y un 2010 bueno para todos.
Os adelanto que el 2010 estará lleno de publicaciones muy interesantes^^
También me gustaría dar las gracias a todos los visitantes de esta web, ya que en unos 8 meses que tiene el blog de vida se han registrado unas 30.000 visitas únicas con más de 100.000 impresiones.
¡Has la próxima!
Dic 18
Bueno, como ya sabreis la SGAE ha creado una lista con 200 webs que ellos opinan “Ilegales” que quieren cerrar sin órden judicial, y bueno como no tienen muchos cojones no la han publicado, pero como supongo que por cojones mi web (buscardescargas.com) está ahí, pues he decidido darle las gracias cambiando los colorines de su web:
Click en la imagen para ver en grande
El XSS lo he encontrado en la zona “Recomiendanos” (se ve que no clickea ahí mucha gente…)
http://www.sgae.es/jsp/email-es.jsp?link=[XSS]
PD: Os recuerdo lo que pasó cuando me denució la última vez el gobierno:
http://seguridad.dimitrix.es/?p=6
Buenos chicos, recordad ser malos con esta gente!
Dic 18
Bueno, para empezar me gustaría indicar que es un “Google Bombing”
Esta bonita técnica lo que permite es que al buscar una palabra por ejemplo “SGAE” en Google, aparezca en el primer resultado “www.PUTASGAE.info”, bien después de hacer un pequeño “Flashback” regresaremos al caso:
Pues como hace poco he descubierto que la empresa de Hosting “1and1″ no está tan limpia como creía, leer más aquí. He pensado probar esta técnica, para poder hacer una valoración mejor.
Para ello necesitaré que la mayor cantida de webmaster enlacen desde su web a la web: http://www.puta1and1.eu/ con el texto “1&1″ o “1and1″ ¿Para qué? para que así al buscar eso en google aparezca de las primeras en el buscador…
Buenos chicos… ya tenemos con que divertirnos para analizar el comportamiento de Google y hacer nuestra propia “Justicia Virtual”
Entrar a putas1and1.eu
