Documentándome sobre una aplicación vía packetstorm , me encuentro un documento de Jun 30 04:57:43 2007, con nombre Youtube-Bypass. Echándole un ojo podemos comprobar que se trata de una manera muy simple de saltarnos las restricciones para vídeos de contenido adulto. Vamos el típico mensaje de :

Es posible que el contenido de este video resulte inadecuado para algunos usuarios, tal y como lo ha marcado la comunidad de usuarios de YouTube.

Para ver este video debes iniciar sesión o registrarte para verificar que eres mayor de 18 años.
Con lo que seria necesario registrarse o iniciar sesión para que el sistema determine si tu edad es la correcta :) (no digo mental..). Pero supongamos que no tenemos ganas de iniciar sesión, registrarnos o yo que se.. Pues para casos como este
hay una solución muy simple y efectiva. Si nuestro video tiene la siguiente URL :

http://www.youtube.com/watch?v=Chei2buYo9s

Tan solo necesitamos pasarla a este formato :

http://www.youtube.com/v/Chei2buYo9s

Y podemos comprobar como decimos adiós a las restricciones con una petición directa del video :).

Pues nada a disfrutar de los “no registros” y cuidado con los contenidos que veis, no nos hacemos cargo de los videos de los paga fantas :P.

Cuando desarrollamos aplicaciones y en nuestro caso aplicaciones Web, con algun tipo de lenguaje de scripting. Nos encontramos con un serio problema, los ataques de Cross-site scripting (XSS) que aunque parezcan inofensivos, realmente no lo son si por ejemplo podemos usar la sesion de otro usuario para ver su cuenta de correo. Y con los ataques de inyecciones SQL , con lo que ya hablaríamos de algo un tanto mas serio porque se conseguiría acceso directo al servidor de base de datos y como no, a la shell para ejecutar comandos si se cuentan con los permisos necesarios. Lo que quiero decir con todo esto, es que nos encontramos con problemas de seguridad serios si no aseguramos de la manera mas adecuada nuestras aplicaciones Web, ya que no siempre podemos confiar en la seguridad del servidor con ciertos modulos, como puede ser mod_security . Principalmente porque se basan en reglas “humanas”, y de una manera u otra podriamos intentar evadir una regla especifica que bloqueara ciertos intentos (usando otro encode, etc). De esta manera podemos “confiar” más en nuestra aplicación frente a administradores <<zoquetes>> :).

Entre tantas soluciones me he decantado por una bajo licencia GPL (en realidad el cli es licencia apache y cup es licencia GPL-compatible), bajo el nombre de “Pixy”.
esta herramienta tan útil desarrollada en Java, se encargara de realizar auditorías de Código en PHP generando un “reporte” de los posibles fallos de seguridad que pudiera tener nuestra aplicación. Para ello se hace de una base de datos de practicas incorrectas de programasen y enumeran las que cumplan esa condición.

Uno de los ejemplos :

$lazaro = $_GET['lazaro'];

$Lylmik = addslashes($lazaro);

// inofensivo porque no se le pasa ninguna variable “peligrosa” a la sentencia
mysql_query(”SELECT * FROM comvive WHERE id = ‘1′”);   

// peligrosa porque la variable lazaro no se ha parseado
mysql_query(”SELECT * FROM comvive WHERE id = ‘$lazaro’”);  

 // inofensiva porque la variable Lylmik se ha parseado
mysql_query(”SELECT * FROM comvive WHERE id = ‘$Lylmik’”); 

// peligrosa por no añadir comillas simples
mysql_query(”SELECT * FROM comvive WHERE id = $Lylmik”);

Por lo tanto en el auditor obtendríamos un resultado similar a este :

directly tainted!

- fichero.php:4
- Graphs: sql2
- unconditionalindirectly tainted and dangerous!

- fichero.php:6
- Graphs: sql4
- unconditional

Donde como podemos observar nos muestra las lineas del fichero y con que tipo de problema nos encontramos. Esto es tan solo un ejemplo, como podéis observar en la Página oficial contienen bastantes ejemplos sobre todo tipo de Bugs comunes. Por lo que os aconsejo que les echéis un vistazo , no os arrepentireis.

Nota : Cuenta con una interfaz web para facilitarnos un poco la vida :

Otros enlaces de interés :

• PHP-sat : otro auditor de código PHP

• PHP String Analyzer : otro mas para favoritos :)

• Rats : otro analizador de varios lenguajes :P y parecidos ITS4 y FlawFinder.

Listado de utilidades para analizar código muy interesantes : http://www.vanheusden.com/Linux/audit.html

Vivimos en tiempos revueltos, aunque seguramente siempre fueron así.
Esta mundialización nos permite vivir todo intensamente, aunque ocurra en la otra punta del globo.
Hemos vivido las primeras guerras en directo, hemos sufrido viendo día a día como los paises se rompían ante la atónita mirada de todos, pero también hemos disfrutado la construcción de nuevos lugares para seguir adelante y de nuevas esperanzas para la vida de muchos enfermos olvidados.
Grandes descubrimientos, movimientos políticos, reivindicaciones o injusticias sociales, todo a un clic, de mando a distancia, de ratón o teclado. Así de fácil.

Esto que os traigo es una pequeña ventana, premiada con un León de Oro en el Festival de Cannes este mismo año.
Una ventana de escape a la tristeza y de entrada a la esperanza.

Grandes descubrimientos, movimientos políticos, reivindicaciones o injusticias sociales, todo a un giro de muñeca, unos trazos de bolígrafo o una carta a un periódico. Así de fácil.

Visto en: Llámame Lola

Ayer por la noche mientras pasaba mi pequeño rato de “diversión”, navegando por zanyvideos me encuentro con este fabuloso “Como no pagar en el Mcdonalds”. Aunque esta en ingles, podemos ver claramente cuales son los pasos a seguir para poder invitar a comer a nuestra novia sin llevar un solo euro en el bolsillo :). Aunque esta en frances subtitulado al ingles, se entiende facilmente. Tan solo necesitamos :

• Tener hambre

• Un coche para el Mc-auto

• El deposito lleno

• Un poco de cara y una buena sonrisa.




En resumen, te metes en la cola del Mc-Auto entre dos coches, cuando vienen a tomar nota de tu pedido y cobrarte (siempre lo hacen antes), les dices que se te ha olvidado el dinero y que no puedes dar la vuelta (yo diria mejor que me he arrepentido y quiero salir de la cola, pero no puedo dar la vuelta). Así que sigues adelante mientras toman nota al coche que esta detras tuya. Acto seguido te paras en la ventana donde recoges la comida y con una sonrisa te llevas lo que ha pedido el coche de atras X-D. Facil y rapido, y como consejo ponerse delante de una familia numerosa :P.

Esta mañana mientras miraba los rss de los blogs habituales me he encontrado con esto….

Algunos os llevareis las manos a la cabeza, otros estaréis llamando ya a la protectora de animales, pero tranquilos, os garantizo que ningún perro ni cocodrilo ha resultado dañado en la elaboración de este post.

Todo tiene su explicación, investigando la fuente original podemos ver que es únicamente una campaña publicitaria de un zoo, el que paseaba al perro iba repartiendo cupones descuento para este, y por lo que se ve ha tenido éxito ya que ese mes las visitas al zoo han subido un 15%.

Aquí os dejo una galería de imágenes de la masacre :)

Me encanta este tipo de publicidad tan original e impactante, no el típico anuncio de TV que no dice nada, pienso que hay que arriesgar, si no es imposible destacar en este mundillo.

Vía Gizmología

Navegando por diariolinux.com, me encuentro con esta entrada : http://diariolinux.com/2007/07/03/mysql-proxy-050/
Se trata de un Proxy para MySQL bajo licencia GPL, ¡Genial!, ¿que porque es genial?.
Básicamente gracias a un proxy para MySQL podemos monitorizar, analizar o transformar cualquier tipo de petición desde un cliente hacia el servidor de Base de datos. Como bien explica en la documentación oficial, podemos usarlo para :

• Balanceo de carga : por ejemplo si queremos tirar de ciertas consultas mas lentas en otra maquina que tiene una replica de la base de datos.

• Failover : supongamos que el servidor de base de datos “se cae”, podemos realizar un backup al “vuelo” de las peticiones y almacenarlas para su posterior uso.

• Analisis de peticiones : porque no analizar que tipo de peticiones se hacen comúnmente de una forma mas “transparente” sin necesidad de tocar nuestro servidor de producción, así como por ejemplo analizar tiempos de respuesta, realizar estadísticas generales, etc.

• Filtrado de peticiones : Podemos crear un filtro de seguridad para ciertas peticiones que no deseamos; que por ejemplo ciertos hosts realicen hacia MySQL, o algún tipo de filtro de seguridad que examine peticiones potencialmente peligrosas (escape a la shell para ejecutar comandos, inserciones en ciertas tablas…)

• Modificación : Al igual que el filtro anterior, podemos determinar que peticiones no queremos y por lo tanto modificarlas “al vuelo”. Un divertido ejemplo seria filtrar una query a la tabla “password” entregando un hash incorrecto, para que un simpático atacante se de golpes en la cabeza pensando porque si estando crackeada la contraseña no funciona :P.

Ademas incluye algo bastante interesante, que es soporte para Lua , un lenguaje de scripting bastante rápido y fácil. En su página Web podemos encontrar algunos ejemplos muy utiles para empezar a desarrollar nuestros propios scripts :

1. query interception
2. query rewriting
3. injecting queries
4. returning a resultset
5. executing shell commands
6. loggin
7. using proxy without changing port

Por lo tanto una herramienta muy muy interesante para cualquier administrador y desarrollador :). Así que en cuanto tenga un minuto prometo dedicarle un extenso documento a esta fantástica utilidad.

Buenas noticias para los Slackers :). Acaba de ser anunciada la nueva Slackware 12.0 Release. Una de las primeras distribuciones que aparecieron aya por 1993,
y de la que poco mas tarde (unos añitos :P por 2001) tuve oportunidad de probar y quedar encantado por su filosofía. Digamos que a mi parecer, es una de las mejores
distribuciones que siguen desarrollándose, tal vez mas pausadamente que otras (¿alguno sabe cuantos desarrolladores tiene? :) ), pero sin duda una distribución fundamental para prestar servicios, y como no como estación de trabajo diaria.

Tanto su estructura, como su gestion de paquetes .tgz, aunque algunos consideren muy simplona (para aquellos les recomiendo que usen emerde, el emerge de los gentoo user’s para otras distribuciones), y por su política de “A lo Unix”. Llevando lo que realmente es necesario, y trabajandose un buen sistema consistente, sin complicaciones ni paquetes que llegan a ser incordiosos, y ocupan espacio/tiempo en nuestras maquinas (dejemosnos de instalaciones BASE de otras distribuciones, véase Debian/Gentoo/etc.).

En el anuncio de presentación, podemos comprobar las nuevas características que Patrick Volkerding, ha incluido y cuales otras ha eliminado como por ejemplo dejar de lado el kernel 2.4 de serie para pasarse al 2.6, o añadir nuevas políticas de seguridad a esta nueva distribución, haciéndola igual de simple pero mas segura por defecto; los binarios del sistema están enlazados con la librería GNU de C versión 2.5, que por lo visto tiene una excelente compatibilidad con los binarios existentes. Soporte X11 modular y mas software en los repositorios.

Por lo tanto una buena noticia, para no tardar en descargarla y ponerla a funcionar !.

Mucha polémica, risas e indignación ha levantado este portal. Hace unos meses se estrenó el flamante portal digo de un pais europeo , moderno y preparado para la nueva era de la tecnología de la información. Hasta aqui todo bien ¬¬ .

Todo bien hasta que te enteras del dinero presupuestado para este proyecto, nada menos que ¡¡¡14!!! millones de euros.

Sí amigos sí ,14 millones de euros para el proyecto, que despues salen corriendo a decir que no, que no son 14 millones de euros, son SOLO 200.000. Para el portal . Lo demas es para el proyecto. En fin una bestialidad lo mires por donde lo mires.

Pero esque aqui no acaba la cosa. Lo peor no es el dineral gastado, sino la porqueria que han desarrollado. No voy a poner aqui todas las barbaridades encontradas. solo una pequeña muestra :)

Hace un tiempo que los blogs de HDTV afloran por la red; uno de los mas conocidos es bloghdtv en él podrás encontrar las últimas noticias sobre está tecnología y en el que te podrás descargar cientos de videos en formato HD de todo tipo; ya bien sean presentaciones y demos de fabricantes, videoclips musicales, cortos de animación incluso alguna que otra película; evidentemente todo en el idioma de Shakespeare.

Y bien; que hacer con nuestra colección de videos HD? Estas cansado de reproducirlos en el ordenador y que se te quede truñido o escuches rascar a tu disco duro?

Por fin han aparecido los primeros discos duros multimedia capaces de reproducir HD en cualquiera de sus encapsulados actuales, divx, MPEG2, wm9, a saber. El equipo en si está lleno de sorpresas; conector ethernet; puertos USB en modo Host; ranura de expansión para tarjeta de TDT o WLAN, etc. El firmware recuerda a los típicos Mediacenter de gama alta con muchas prestaciones a la hora de gestionar archivos.

Puedes verlos de manera mas detallada en tvix , gracias a edu por enviarme esto.

Si, como bien dice el titulo Wake board en Sevilla.

No tenia ni idea de que este deporte se practicara en nuestro río Guadalquivir lo cual fue una agradable sorpresa ya que me gusta mucho .

Bueno a lo que iba que me enredo mas que el cordon de un zapato, pues eso que este fin de semana hubo una competición de profesionales de este deporte, aunque era no puntuable el premio era de 1200€ lo cual viendo los premios que dan me planteo el cambiar de profesión jejejeje.

Nosotros fuimos invitados por Malakal que es el representante oficial de Mastercraft para Andalucia y que ademas patrocinador de este tipo de eventos.

Hice algunas fotos de como se lo curran los chicos de la Fawen. La organización es muy importante y en cuanto a eso ellos se lo curran bastante, porque vaya si apretaba el sol y ni eso les impedia poner todo a la maxima perfección.

Una cosa que si me llamo bastante la atención fue la cantidad de chicos extranjeros que vienen a nuestro pais a practicar el Wake Board. Y es que a veces hay que saber aprovechar lo que tenemos y los chicos del CAR saben como hacerlo.

Os prometo publicar pronto las fotos de ese dia, cuando las tenga clasificadas …y que los chicos de comvive eligan las mejores.