tag:blogger.com,1999:blog-21555208.post2538020532770686474..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Data Type Conversion Attack en PHPChema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger7125tag:blogger.com,1999:blog-21555208.post-61967998952614171442009-12-27T02:20:29.382+01:002009-12-27T02:20:29.382+01:00Hombre, pero lo que no hay que hacer es tener un s...Hombre, pero lo que no hay que hacer es tener un servidor en producción con los errores mostrándose tan alegremente...<br /><br />De todas formas, el tema de los arrays por GET sí es algo que a veces causa <i>problemillas</i>, como pasó <a href="http://seclists.org/fulldisclosure/2009/Aug/113" rel="nofollow">hace poco con Wordpress</a>.martinhttps://www.blogger.com/profile/09976446388704035944noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-78772693331427668402009-12-27T00:10:55.919+01:002009-12-27T00:10:55.919+01:00Muy Bueno maligno =) con este tipo de técnicas se ...Muy Bueno maligno =) con este tipo de técnicas se puede encontrar bugs en muchos lugares hasta los mas seguros justo hace unos dias hable sobre este bug en mi blog... esta bien explicado...<br /><br /><br />Saludos y Feliz navidad atrasadaDr.Whitehttps://www.blogger.com/profile/00396289618746910605noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-40395588745920753302009-12-26T22:34:15.782+01:002009-12-26T22:34:15.782+01:00Eeee no lo molesten a Chema, que esta usando el ch...Eeee no lo molesten a Chema, que esta usando el chrome ahora!...<br /><br />KiKiToAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-74104631070430921992009-12-26T14:19:39.449+01:002009-12-26T14:19:39.449+01:00El fallo del IIS también se puede explotar subiend...El fallo del IIS también se puede explotar subiendo un fichero ASP desde una aplicación desarrollada en .NET (lo he probado y funciona), así que yo no le restaría importancia argumentando eso de que no afecta a los ASPX... ;-)Dani Kachakilhttp://www.kachakil.comnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-24214275003515395902009-12-26T13:59:31.174+01:002009-12-26T13:59:31.174+01:00@RoMaNSoFt, ya lo había publicado el dab y yo a un...@RoMaNSoFt, ya lo había publicado el dab y yo a un amigo no le quito una primicia ;)<br /><br />@Pedro, el expediente habla sólo de Wordpress cuando en realidad afecta a casi todo el php... está graciosote como lo ha escrito ;)<br /><br />Saludos!Chema Alonsohttps://www.blogger.com/profile/16328042715087424781noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-28600301874396909882009-12-26T11:26:17.695+01:002009-12-26T11:26:17.695+01:00@RoMaNSoFt no seas malo, que seguro que lo tiene a...@RoMaNSoFt no seas malo, que seguro que lo tiene a medio escribir :P Ademas, si tienes .Net no funciona ¿Y quien va a tener un IIS si no es para poner ASP.Net? O:-)<br /><br />Por cierto, se lo comente ya a Manu, pero este recurso se conoce desde hace ya tiempo, no se si se le ha dado un nombre concreto pero yo la recuerdo de hace casi un par de años, de usarla para sacar el path del blog del tecnicoless mayor: <br />- http://www.securityfocus.com/archive/1/archive/1/456731/100/0/threaded<br />- http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-0262<br /><br />Un saludo y felices fiestas!!!<br /><br />Pedro<br /><br />P.D. Por cierto, muy bonitos los enlaces de ejemplo ;-)Pedro Lagunahttps://www.blogger.com/profile/14465712337568938230noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-65479226536326982732009-12-26T10:53:42.021+01:002009-12-26T10:53:42.021+01:00Y para el lunes, la cagadilla del punto y coma del...Y para el lunes, la cagadilla del punto y coma del IIS de M$, ¿no? Bueno, mejor el martes, no sea que se confunda con una inocentada de lo trivial que es petar el IIS }:)<br /><br />-rRoMaNSoFthttps://www.blogger.com/profile/15516592550449333336noreply@blogger.com