HispaSystem Group Blog

Cuando se quieren evitar ataques XSS, normalmente en PHP se usan las funciones htmlspecialchars o htmlentities.

Ahora veo un ejemplo en el que un ataque puede evitar estas funciones cuando se crea la página con HTML no estándar. Tenemos el típico ejemplo de un texto que se introduce por un formulario y se presenta como un enlace.

• $dato = htmlentities($_GET['dato'], ENT_QUOTES);
• echo "<a href=pagina.php?dato=$dato>Enlace</a>";

Si os fijáis bien veréis que el enlace está mal formado y no tiene las comillas en el href. Si metieramos como dato de entrada lo siguiente: ” onclick=alert(null)” (sin las comillas), nuestra página sufriría un ataque XSS y mostraría un mensaje alert.

Vía: SentidoWeb

Buenas a todos y a todas

Quería comunicar mi regreso activo al Blog, actualmente he estado con exámenes y con muy poco tiempo para la pc. Tanto Carlos, Jorge y yo estamos bastante ocupados últimamente de ahí las pocas entradas diarias del blog (todo esto debido al fin de curso)

No obstante también quiero comentar los futuros planes que tenemos con el blog, hemos estado hablando los 3 junto con Antonio Gonzalez para solucionar unas cuantas cuestiones acerca del futuro hosting.

Adelanto que sobre mediados de Mayo o principios de Junio adquiriremos nuestro propio hosting. El sitio en general se reestructurará

El blog se dividirá en 2

• Uno dedicado a temas más livianos sobre la informática: Diseño gráfico/Web, S.O, Telefonía, Navegadores, Hardware, Software Libre etc…
• Y otro dedicado a temas más relacionados con la seguridad informática y la programación: Web App Security, Detención de Malware, Wireless, Servidores, Redes, PHP, C/C++, Phyton, Criptografía etc…

También se prepararán los servicios online para que estén a disposición de todos los usuarios y visitantes de este blog, además de muchas otras novedades.

Pues eso es todo lectores, les deseo a todos ustedes lo mejor, y que recuerden esto:

“Lo bueno se hace esperar”

Atte. Edgar H.S. Group

A todo el mundo le gustaría poder ver que tiempo hace mientras está navegando, y sin tener que andar visitando otras páginas. Para ello vamos a utilizar un complemento del Firefox llamado Forecastfox Enhanced.

Lo añadimos a nuestro Firefox desde aquí.

Una vez concluída la instalación reiniciamos el Firefox. Al abrirse veremos que ha aparecido un nuevo panel abajo a la derecha. Le daremos un click derecho encima de ese panel y luego a Opciones. Nos saldrá una ventana como esta.

Vamos a crear un nuevo perfil para nuestra ciudad. Le damos al botón en la parte superior que pone Crear. Escribimos el nombre y a continuación le damos a Aceptar. Ahora que tenemos el perfil creado, vamos a buscar nuestra ciudad. Para ello le damos al botón que pone Buscar código. Ahí escribimos el nombre de nuestra ciudad y de nuestro país, separados por una coma. Por ejemplo: Torrelavega, Spain (mi caso). Nos saldrán todas las ciudades con ese nombre en ese país, le damos a la nuestra (lo más normal es que solo haya una) y seguimos configurandolo.

Ahora cambiamos donde pone Unidad de medida, y lo ponemos en Métrica para que mida en metros. Si lo preferimos en millas lo dejamos en Estándar. Luego le damos a Predicción ampliada (en el menú de la izquierda) y ponemos el número de días que queremos que muestre en el panel. Hay que recordar que cuanto más lejano sea el día, menos fiable es la predicción.

Ahora podremos ver que tiempo hace en nuestra ciudad sin ninguna dificultad con este panel.

Los dibujos se entienden instintivamente (lluvía, tormenta, nubes y claros…).

Atte: Jorge H.S. Group

Durante muchos años, el Hubble estuvo mirando por la mirilla del tiempo, para encontrar las imagenes más impresionantes del universo jamas vistas. Pero el 6 de Enero del 2002 descubrió algo realmente sorprendente para los Geeks del planeta

Evidentemente, no tiene nada que ver con nuestro navegador preferido, pero las comparaciones son inevitables :D. La estrella se llama V838 Monocerotis y está a una distancia de 20.000 años luz (vamos un paseito) situada en la constelación de Monoceros, y en la imagen se muestra la estrella convertida en Nova 2 años despues de su explosión. El contorno que envuelve a la Nova es una nebulosa en expansión que se aleja de la estrella debido a la explosión. Simplemente sorprendente.
Ver evolución de la nova desde su descubrimiento

Vía: aNieto2K

Comentario por Carlos H.S. Group: Si véis la evolución de la nova veréis que en la foto de Octubre también sale la silueta de la mascota del firefox, cosa que no se puede apreciar en la más reciente.

Pocos lectores daban crédito por estos lares a César Cerrudo cuando afirmó haber descubierto una vulnerabilidad en Windows Server 2008, el “servidor Windows más seguro que ha habido nunca” (Microsoft dixit), como si apuntar una vulnerabilidad en Windows constituyera un hecho insólito.

Aún menos recordarán que ayer, 17 de Abril, era el día en que Cerrudo había prometido presentar los detalles en Dubai, en el transcurso de HITBSecConf2008.

Pero aquí está este humilde sitio, dispuesto a recordar esa fecha y a mostrar a los incrédulos lo que Microsoft acaba de decir, que supone el reconocimiento de la vulnerabilidad apuntada por Cerrudo, y afectando no sólo a Windows Server 2008, sino también a Windows Vista, Windows XP SP2 y Windows Server 2003.

A ver cuando sacan el parche para solucionar el fallo, cabe comparar que el parche del exploit para tener root para los kernels 2.6.x - 2.6.24.1 salió prácticamente al publicarse la vulnerabilidad, veremos cuanto tarda el de Microsoft…

Referencias:

• Cerrudo publica su presentación, emitiendo el exploit a petición de Microsoft
• Exploit Local en Kernel 2.6.4

Vía: Kriptópolis

“Un estadounidense de 26 años ha sido encontrado culpable en Los Ángeles de haber ‘pirateado’ “cientos de miles de ordenadores” en Estados Unidos para robar información confidencial y se expone a 60 años de cárcel, según anunció el Ministerio Fiscal”

Contra todo pronóstico y su calendario de lanzamientos la versión Release Candidate de Ubuntu 8.04 “Hardy Heron”, que debía ser lanzada el día de hoy, se retrasará hasta mañana debido a problemas de última hora en la compilación de los paquetes. Esta version se supone estable y será practicamente igual, salvo detalles menores, a la version final que se publicará el próximo 24 de Abril (dentro de sólo una semana).

Vía: VivaLinux!