tag:blogger.com,1999:blog-21555208.post2518748166727626811..comments2024-03-19T04:21:33.323+01:00Comments on Un informático en el lado del mal: Los Esquiroles - Getafe Joomla - XSS en com_joomleagueChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger34125tag:blogger.com,1999:blog-21555208.post-37114387208989944802007-11-01T10:51:00.000+01:002007-11-01T10:51:00.000+01:00@Javier Lorente, ya lo hice público en "La Liga de...@Javier Lorente, ya lo hice público en "<A HREF="http://elladodelmal.blogspot.com/2007/09/la-liga-de-los-hombres-extraordinarios.html" REL="nofollow">La Liga de los hombres extraordinarios</A>"Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-17111692307465023082007-08-30T02:01:00.000+02:002007-08-30T02:01:00.000+02:00No, no pretendia demostrar eso, tal vez eleve dema...No, no pretendia demostrar eso, tal vez eleve demasiado el nivel ironico y no me entendiste; el matiz en el comentario o para que me entiendas, en lenguaje MS "el hint", era "sofista". Pese a que te recomiendo el extenso articulo de la wikipedia sobre el sofismo, te lo voy a resumir ejecutivamente: el sofismo en terminos pragmaticos viene a ser el uso de argumentos espurios, banales, tendenciosos, con exceso de simplismo para demostrar o razonar algo, y mi ejemplo pretendia ser una critica al "rigor" del "estudio" que habias hecho y lo que subyace de las conclusiones. Tal vez me resulto engañoso tu aparente dominio de los signos de puntuacion (,.) y pense que era extensivo al lenguaje en general ;)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-86015101441886439772007-08-29T12:59:00.000+02:002007-08-29T12:59:00.000+02:00Muchas gracias Chema por tu opinión, y gracias por...Muchas gracias Chema por tu opinión, y gracias por la sugerencia maligna, investigaré sobre el WSS y ya te diré algo. Si al final vas a la carcel te mandaré el número 1 de Thor para que pases el trago. Un saludo y gracias de nuevo.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-12184758515811971372007-08-29T10:03:00.000+02:002007-08-29T10:03:00.000+02:00@daniel_gen, Joomla no lo he probado mucho, de hec...@daniel_gen, Joomla no lo he probado mucho, de hecho, la primera vez que lo vi un poco fue con <A HREF="http://elladodelmal.blogspot.com/2007/08/velocidad-de-escape.html" REL="nofollow">el pete del componente de los mapas</A> y ahora un poco más en profundidad. Supongo que tendrá virtudes y defectos. La alternativa en Spectra para este tipo de cosas suele ser WSS, que además viene de gratis con Windows Server.<BR/><BR/>Siento no poder darte más info.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-82060730877442595492007-08-29T07:30:00.000+02:002007-08-29T07:30:00.000+02:00Si las brigadas tecnológicas tuvieran que luchar c...Si las brigadas tecnológicas tuvieran que luchar contra los que publicar mensajes de error de webs tendríamos que cerrar Google.Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-45942460598362861522007-08-29T07:26:00.000+02:002007-08-29T07:26:00.000+02:00yj, que quieres mostrar? Qué blogspot va sobre Lin...yj, que quieres mostrar? Qué blogspot va sobre Linux????<BR/><BR/>Wow!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-37843608506552859592007-08-29T02:02:00.000+02:002007-08-29T02:02:00.000+02:00Benignos y Malignos, ya hablaron, ahora es tiempo ...Benignos y Malignos, ya hablaron, ahora es tiempo de los sofistas:<BR/>(Click sobre el nick)<BR/>Pido disculpas por mi escaso conocimiento del refranero ...<BR/>¿Como era eso de la paja, el ojo, y lo ajeno?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-11485969896264288242007-08-28T23:18:00.000+02:002007-08-28T23:18:00.000+02:00Dudo mucho que poner una comilla sea un delito, au...Dudo mucho que poner una comilla sea un delito, aunque sea en el FBI o en la página web de la CIA. Eso es una tontada como una casa, si tu no accedes a datos personales ni te metes dentro del sistema no estás haciendo nada malo, estás haciendo todo desde la parte del cliente sin atacar al servidor. Sacar un XSS pon pantalla es todo cliente, además si avisas de los problemas que una web puede tener todavía con menos razón para que sea delito.Asfasfoshttps://www.blogger.com/profile/01836848245453150160noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-66659154770307837632007-08-28T21:58:00.000+02:002007-08-28T21:58:00.000+02:00No creo que este tipo de pruebas estén considerada...No creo que este tipo de pruebas estén consideradas delitivas. Claro que la ley respecto al tema está poco clara, por lo que hay que andar con cuidado. De todas formas y como bien dice "Dani K." ya se expusieron casos en otras Webs y nunca pasó nada. De echo el bueno de Chema avisa a los responsables del sitio, con lo que la mala intención no existe. <BR/><BR/>Muy bueno el post Maligno<BR/><BR/>Un saludoAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-25668974415045878742007-08-28T20:31:00.000+02:002007-08-28T20:31:00.000+02:00Ahora entiendo la razón por la que el fútbol mueve...Ahora entiendo la razón por la que el fútbol mueve tanta pasta. Se nota que a la gente le encanta el tema. Ni que fuera la primera vez que se expone alguna web vulnerable en este blog. Creo que se pueden contar por decenas... ;-)<BR/><BR/>En cuanto a la legalidad o no, personalmente no creo que suponga ningún tipo de delito, aunque desde el punto de vista ético cada cual tendrá su opinión y ahí no entro a discutir.<BR/><BR/>Supongo que existirá algún precedente legal de alguna empresa o particular que haya decidido denunciar un acto similar. Si alguien conoce alguna sentencia al respecto (a favor o en contra, da igual), que la cite por aquí con referencias, que tengo curiosidad...<BR/><BR/>Saludos!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-29501175704372807262007-08-28T20:25:00.000+02:002007-08-28T20:25:00.000+02:00Gracias por tu opinión aramosf. Tomo nota. Creo qu...Gracias por tu opinión aramosf. Tomo nota. Creo que petar una aplicación y una aplicación web tienen poco de distinto, pero tu opinión es tan buena como cualquiera. <BR/><BR/>Además, como dices tú, solo son cosas de script kiddies. ;)<BR/><BR/>Creo que en este caso no se ha accedido a ninguna información en ningún sitio con lo que no se ha incumplido ningún delito. Creo que podría explicarselo a la señora jueza.<BR/><BR/>Y publica tus cero days perro!<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28276790480193060132007-08-28T20:19:00.000+02:002007-08-28T20:19:00.000+02:00Halou,Os recomiendo la lectura de la definición de...Halou,<BR/><BR/>Os recomiendo la lectura de la definición de la wikipedia de "dolo", puede que hayas metido una ' sin querer, pero además tendrías que explicar como acabó todo este post aquí. A mi, como comprenderás, me da igual que no muestres lo que yo considero ética moral en tu blog personal, puedes poner como 'cuasi' petas cualquier cosa que te aseguro que yo me rio más que nadie. Solo añado un nota en la sección de "comentarios" con mi opinión, que para eso están. Y si me preguntas, te podría contar más de 3 pericias de defensa que hemos hecho por gente que ha hecho mucho menos que eso y ha acabado teniendo que dar explicaciones ante una vieja de 60 años a la que llaman juez.<BR/><BR/>Os reto que hagais lo mismo en la web del FBI y saques una entrada con un sql injection que encontraste "por error" :D<BR/><BR/>En cuanto a FD, si, claro que escribo, como he comentado en otras ocasiones, creo en el disclosure -DE LAS APLICACIONES- (y no de los sitios web, lo que me conviritira en un scriptkiddie), aunque como todos, tengo mis 0days.<BR/><BR/>Esta vez, besos con sabor a huevos fritos con patatas.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-56867415934099655442007-08-28T19:45:00.000+02:002007-08-28T19:45:00.000+02:00slayer, descubrir mi correo es sencillo.... ;)aram...slayer, descubrir mi correo es sencillo.... ;)<BR/><BR/>aramosf, creo que intrusión quiere decir que entras en el sistema. En este caso no hemos accedido a ninguna información interna del sitio. Es fase de fingerprinting y footprinting, es decir, lo que es público. <BR/><BR/>Poner una comilla es tan tonto que, te lo creas o no, a mi, en este caso me pasó sin querer, se me fue el muestrario pollas que tengo por mano por el teclado y me dio un error. De hecho no se ni porque ha pasado. A estos señores les he avisado, y también a los de com_joomleague, y a los de joomla lo he intentado y penyasquito ha avisado a gente de joomla, pero hasta el momento sin noticias de Gurb en todos los campos.<BR/><BR/>Las listas de full disclousure... ¿has posteado alguna vez allí tú?<BR/><BR/>Esto es una chorrada, tranquilidad.<BR/><BR/>Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-71072091383632862072007-08-28T19:28:00.000+02:002007-08-28T19:28:00.000+02:00¿es criticable que alguien muestre al mundo las ma...<I>¿es criticable que alguien muestre al mundo las malas prácticas de seguridad de una empresa?</I> <BR/><BR/>Si, lo es.<BR/><BR/><I>¿no se defienden los intereses de los consumidores al no mantener "ocultas" estas malas prácticas?</I><BR/><BR/>No, si quieres vete a un banco y atracalo para ver si es seguro y luego haces la misma pregunta en comisaria.<BR/><BR/><I>¿Dirías lo mismo si lo relatado en este post se hubiera hecho contra, por ejemplo, microsoft.com? </I><BR/><BR/>Por supuesto<BR/><BR/><I>¿Te preocuparía la buena fama de Spectra o si fuera a perder clientes por una intrusión de estas características?</I><BR/><BR/>No, basicamente porque Microsoft ya tiene mala fama en seguridad, se la ha ganado a base de su historia y a pesar de ello, sigue vendiendo, no le supone un problema, como le puede suponer a la PYME de antes.<BR/><BR/>En cuanto al software que uso, a veces es libre y a veces tiene esposa. No creo que eso importe.<BR/><BR/>PD: meter una comilla en una URL y mostrar un error de SQL seguramente cualquier juez lo vea como un delito, ¿lo es?, no lo sé, pero si yo veo que alguien anda "jugando" con mi web solo por diversión, trataria de crujirmelo legalmente por diversión y mientras a mi me saldría gratis, a la otra parte le buscaria un problema :D<BR/><BR/>Saludos benignos. Como el sirope de chocolateAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-59527502282113478632007-08-28T18:44:00.000+02:002007-08-28T18:44:00.000+02:00Donde te puedo mandar mi direccion de correo?Graci...Donde te puedo mandar mi direccion de correo?<BR/><BR/>Gracias!SLaYeRhttps://www.blogger.com/profile/07405939655374219701noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-87139727147965933612007-08-28T17:33:00.000+02:002007-08-28T17:33:00.000+02:00Benigno!!que alegría leerte!!. Deja de currar homb...Benigno!!<BR/><BR/>que alegría leerte!!. Deja de currar hombre, que estamos en Agosto.<BR/><BR/>Yo me apunto a lo de tu asociación.<BR/><BR/>;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79337179331228499672007-08-28T17:27:00.000+02:002007-08-28T17:27:00.000+02:00Ya estamos, tengo tantos marrones encima que ni ti...Ya estamos, tengo tantos marrones encima que ni tiempo tengo para incordiar por aquí.<BR/><BR/>Y mira que me han dao ganas de decir cosas como "y que tal van las ventas del Vista", o como cuando sacasteis lo de los equipos con Ubuntu, que no os acordáis que también por clamor popular se sigue vendiendo XP.<BR/><BR/>En aras del buenrrollismo propongo la creación de una Asociación de Visteros y Linuxeros así to junto, asi no nos sentiremos tan solos (pero como diría Torrente sin mariconadas eh).<BR/><BR/>Hasta la vista babies ;-)Unknownhttps://www.blogger.com/profile/04312939490074491643noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-68123114325021125772007-08-28T16:43:00.000+02:002007-08-28T16:43:00.000+02:00Ponme un mail y te mando la plantilla. Me la hicie...Ponme un mail y te mando la plantilla. Me la hicieron amigos ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-79829039251206150282007-08-28T16:25:00.000+02:002007-08-28T16:25:00.000+02:00Hola maligno, quiero saber como coño has puesto el...Hola maligno, quiero saber como coño has puesto elementos a la parte izquierda del blog.<BR/>Es por la plantilla?<BR/>Yo no veo forma humana de poner en mi blog algunas secciones a la izquierda.<BR/><BR/>Gracias y perdona el off topic ;)SLaYeRhttps://www.blogger.com/profile/07405939655374219701noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-64800041315432471082007-08-28T16:15:00.000+02:002007-08-28T16:15:00.000+02:00Oye Chema por que no te sacas un libro de bajo de ...Oye Chema por que no te sacas un libro de bajo de la manga y a todos los programadoruchos como yo nos haces un favor eh... yo procuro pegarle a todos los palos pero...'no puedo no puedo no puedorrr'; he leido alguno que otro pero me falta muuuuuuuucho para llegar a la 'decencia'. <BR/><BR/>Venga venga caña caña que es lo único que nos hace correr!!!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-23784540399170169632007-08-28T13:48:00.000+02:002007-08-28T13:48:00.000+02:00Como decia una tia mia:"Debe saber mucho el hombre...Como decia una tia mia:<BR/>"Debe saber mucho el hombre, pues no le he entendido nada de lo que ha dicho". :)<BR/><BR/>Como desarrollador puedo dar fe, que la seguridad es una "feature" que siempre queda relegada a la terminacion de los componentes funcionales de la app, y muchas de esas veces, queda fuera del presupuesto. A la gente sencillamente no le interesa... HASTA QUE PASA, y entonces tenemos que parchear con paraguas y cacerolas para contener las goteras que se hubieran solucionado con un buen techo durante el desarrollo. Obviamente hay excepciones.<BR/><BR/>Como he dicho anteriormente, yo de seguridad en web apps poco y nada, pero todos los dias aprendo algo aqui. Excelente blog.<BR/><BR/>saludos./jkhttps://www.blogger.com/profile/00369615592409668806noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-46551795935472363322007-08-28T13:43:00.000+02:002007-08-28T13:43:00.000+02:00Dame tiempo David, ya he puesto una alerta en el p...Dame tiempo David, ya he puesto una alerta en el post. Se me acumula el trabajo y para mi salud mental no quiero poner más de un post al día....Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-117151140580059472007-08-28T13:41:00.000+02:002007-08-28T13:41:00.000+02:00Tal y como dijiste hace dos días, no estás habland...Tal y como dijiste hace dos días, no estás hablando mal de Apache... sino de los que hacen la instalación.<BR/><BR/>¿Para cuándo el informe original actualizado? Convendrás conmigo que, sabiendo que está mal, dejarlo tal cual con ese gráfico de tarta en el que IIS parece que tiene más instalaciones que Apache... es cuanto menos discutible.Unknownhttps://www.blogger.com/profile/16883407508768391457noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-65355287071873614772007-08-28T12:35:00.000+02:002007-08-28T12:35:00.000+02:00aramosf no es benigno. Tampoco estamos diciendo co...aramosf no es benigno. <BR/><BR/>Tampoco estamos diciendo como entrar. ;)Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19979602573946315672007-08-28T12:23:00.000+02:002007-08-28T12:23:00.000+02:00"Solo espero que esa compañía no pierda clientes p..."Solo espero que esa compañía no pierda clientes porque te indexe google y alguien busque información y encuentre esta entrada. Imagínate, ¡podrian hasta denunciarte! (con toda la razón del mundo)..."<BR/><BR/>No lo entiendo yo, partiendo de que esos saludos benignos me hacen pensar que eres Benigno y por tanto partidario del software libre, ¿es criticable que alguien muestre al mundo las malas prácticas de seguridad de una empresa? ¿no se defienden los intereses de los consumidores al no mantener "ocultas" estas malas prácticas? ¿Dirías lo mismo si lo relatado en este post se hubiera hecho contra, por ejemplo, microsoft.com? ¿Te preocuparía la buena fama de Spectra o si fuera a perder clientes por una intrusión de estas características?Anonymousnoreply@blogger.com