Defcrypt

El servidor dónde se aloja Ixde está detrás de una ADSL con IP dinámica, por lo que cada vez que se cambia la IP se tienen que actualizar los registros del dominio. Para evitar tener que hacerlo a mano, encontré un pequeño script en la web de mi proveedor de dominios que permitía hacer esto con solo añadir dicho script al cron. Luego cada 15 minutos mira si se ha cambiado la IP.

Para que esto funcione, tiene que comprobar si la IP externa ha cambiado, y para poder hacerlo necesita conectarse a un PC de internet, ya que el servidor está dentro de una NAT.

En las últimas semanas el servidor ha estado muchas horas caídas por este motivo. Se reiniciaba el router por motivos varios y al cambiar de IP el servidor, el dominio no se actualizaba y los usuarios no podían entrar. El motivo era que la web donde comprobaba la IP externa se le ha caducado el dominio y ya no indicaba la IP del visitante. He estado buscando y he encontrado una web que permito eso mismo, indicarte tu IP con texto plano para que sea fácil de parsear. La web es myip.sk.

Navegando por internet me he encontrado el traductor que siempre habías soñado: ¡Sí, el traductor de R2D2! Y además, ¡es gratis! Espero que os divirtáis un rato: R2D2 Translator.

Vía menéame leo un post sobre un fallo de seguridad en Tuenti.

Básicamente, el fallo de seguridad consiste en que no se hace una validación de las imágenes subidas, solo comprueba que tenga una extensión .JPG (grabe error). Entonces, sabiendo esto podemos introducir un enlace malicioso —como comenta el del autor del post— que consiste en una URL de desconectar la sesión acabada con .JPG. Entonces al entrar alguien en el tablero de la persona, el navegador la cargara como si fuera una imagen, pero en realidad estará enviando una solicitud para desconectarse.

Más información en Dimitrix (es una url temporal por el efecto menéame).

Aunque llevamos unos días sin actualizar, Kaizo y un servidor seguimos vivos :D

El mundo no ha parado y han habido noticias interesantes dignas de comentar, pero se nos han pasado. Ahora mismo estamos dedicando gran parte de nuestro tiempo en un proyecto llamado Filmo. Si todo va según lo previsto y va avanzando, iremos desvelando un poco más de información. Esto ha provocado que otros proyectos como Pynigma estén parados, pero se tiene que elegir a uno.

Nos leemos!

Si hace unos días en SecurityByDefault hablaban del que podría llegar a ser un hackeo memorable, hoy he encontrado por casualidad otro.

Leyendo un artículo en Vilaweb [cat] he llegado a una de las páginas de auditoría online más importantes de España. Pues bien, resulta que en esa web, utilizando el buscador y probando un poco de código javascript, podemos ver que tienen un problema de seguridad (Cross-site scripting – XSS [en]).

Utilizando el siguiente código Javascript podemos ver la siguiente captura:

<script>alert("hola")</script>

Prueba del fallo XSS