Comentarios para Mahadeva http://www.patriciomolina.com Blog de Patricio Molina Sat, 06 Mar 2010 23:32:49 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Comentario de Consultando Crunchbase con Python por Brian Jain http://www.patriciomolina.com/2009/09/consultando-crunchbase-con-python/comment-page-1/#comment-68 Brian Jain Sat, 06 Mar 2010 23:32:49 +0000 http://www.patriciomolina.com/?p=91#comment-68 This is great! Thanks for the article. I am starting python and this got me straight. This is great! Thanks for the article. I am starting python and this got me straight.

]]> Comentario de Me encanta recibir “buenas noticias” (con Python) por Dario http://www.patriciomolina.com/2009/11/me-encanta-recibir-buenas-noticias-con-python/comment-page-1/#comment-66 Dario Tue, 02 Mar 2010 21:57:51 +0000 http://www.patriciomolina.com/?p=226#comment-66 JAJAJAJAAAJAA "Como pegarse 1 tiro con 24 lineas de codigo v1.0" EXCELENTE! JAJAJAJAAAJAA

“Como pegarse 1 tiro con 24 lineas de codigo v1.0″

EXCELENTE!

]]> Comentario de XSS en el sitio del Ministerio de Salud por Pato http://www.patriciomolina.com/2010/02/xss-en-el-sitio-del-ministerio-de-salud/comment-page-1/#comment-63 Pato Thu, 18 Feb 2010 20:40:47 +0000 http://www.patriciomolina.com/?p=323#comment-63 No estoy a favor del "<em>full disclosure</em>", por eso (y como escribí al final del <em>post</em>), la vulnerabilidad la notifiqué oportunamente, pero no se tomó ninguna medida al respecto. Ellos son los responsables por no tomar las medidas necesarias, en tiempo y forma, para evitar un ataque. No estoy a favor del “full disclosure“, por eso (y como escribí al final del post), la vulnerabilidad la notifiqué oportunamente, pero no se tomó ninguna medida al respecto.

Ellos son los responsables por no tomar las medidas necesarias, en tiempo y forma, para evitar un ataque.

]]> Comentario de XSS en el sitio del Ministerio de Salud por Burzak http://www.patriciomolina.com/2010/02/xss-en-el-sitio-del-ministerio-de-salud/comment-page-1/#comment-62 Burzak Thu, 18 Feb 2010 20:25:36 +0000 http://www.patriciomolina.com/?p=323#comment-62 Che, todo bien con que hagas publicas estas cosas, pero hacelas despues de que esten solucionadas. La idea es informar, no avivar giles. Lo unico que se va a sacar en limpio de esto es algun pelotudo que sepa dos huevadas y se la de de cracker. Punto aparte, podrias evidenciar otras paginas, no las del gobierno que como bien decis es un sitio bastante importante como para andar avivando giles. Che, todo bien con que hagas publicas estas cosas, pero hacelas despues de que esten solucionadas. La idea es informar, no avivar giles. Lo unico que se va a sacar en limpio de esto es algun pelotudo que sepa dos huevadas y se la de de cracker.

Punto aparte, podrias evidenciar otras paginas, no las del gobierno que como bien decis es un sitio bastante importante como para andar avivando giles.

]]> Comentario de XSS en el sitio del Ministerio de Salud por Pato http://www.patriciomolina.com/2010/02/xss-en-el-sitio-del-ministerio-de-salud/comment-page-1/#comment-61 Pato Thu, 18 Feb 2010 17:37:48 +0000 http://www.patriciomolina.com/?p=323#comment-61 A ver qué onda eso, gracias! A ver qué onda eso, gracias!

]]> Comentario de XSS en el sitio del Ministerio de Salud por Angel http://www.patriciomolina.com/2010/02/xss-en-el-sitio-del-ministerio-de-salud/comment-page-1/#comment-60 Angel Thu, 18 Feb 2010 17:36:35 +0000 http://www.patriciomolina.com/?p=323#comment-60 Ya que te estas metiendo con todo lo que es seguridad te recomiendo, para analizar webs, que empieces a manejar Peach Fuzzer (http://peachfuzzer.com/). Es una herramienta bastante completa para hacer esas pruebas y análisis de manera automática. Ya que te estas metiendo con todo lo que es seguridad te recomiendo, para analizar webs, que empieces a manejar Peach Fuzzer (http://peachfuzzer.com/). Es una herramienta bastante completa para hacer esas pruebas y análisis de manera automática.

]]> Comentario de XSS y SQL Injection en Infobae.com por Fernando Cuscuela http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-58 Fernando Cuscuela Sat, 13 Feb 2010 03:34:57 +0000 http://www.patriciomolina.com/?p=307#comment-58 Estimado, desde ya agradezco nos haya hecho llegar este bug de seguridad. Sinceramente no he podido personalmente responderle pero aprovecho la oportunidad para hacerlo. Ya he enviado el problema al equipo de desarrollo para que lo solucionen a la brevedad. Demas esta decir que apenas encontremos la solucion le informaremos (envieme un email con sus datos) a fin de poder hacerle una devolucion al respecto. Nuevamente muchas gracias y a disposicion, Fernando Cuscuela IT Manager Grupo Infobae Estimado, desde ya agradezco nos haya hecho llegar este bug de seguridad. Sinceramente no he podido personalmente responderle pero aprovecho la oportunidad para hacerlo.

Ya he enviado el problema al equipo de desarrollo para que lo solucionen a la brevedad. Demas esta decir que apenas encontremos la solucion le informaremos (envieme un email con sus datos) a fin de poder hacerle una devolucion al respecto.

Nuevamente muchas gracias y a disposicion,
Fernando Cuscuela
IT Manager Grupo Infobae

]]> Comentario de XSS y SQL Injection en Infobae.com por Angel http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-56 Angel Fri, 05 Feb 2010 20:16:25 +0000 http://www.patriciomolina.com/?p=307#comment-56 Excelente descripción y muy buena la ética de primero avisar, y ante la falta de respuestas, hacerlo publico. Lamentablemente la mayoría de los diarios de Argentina tienen sus versiones online igual de vulnerables, hace no mucho que minutouno.com hacia la validación para acceder a su sitio de administración mediante JavaScript (ergo, dicho en simple: si ponías ver el código veías cual era el password que tenias que tipear para ingresar). Mas me asusta la seguridad de los bancos, la mayoría de las paginas exponen archivos “.include” que se pueden ver como texto plano y que tienen los usuarios que se utilizan para acceder a la base de datos. Y lo que mas me divierte es los que ni siquiera requieren el esfuerzo que invertiste, hagamos un par de búsquedas en Google: http://www.google.com.ar/search?hl=es&safe=off&q=intitle%3A%E2%80%9DEvoCam%E2%80%9D+inurl%3A%E2%80%9Dwebcam.html%E2%80%9D&btnG=Buscar&meta=&aq=f&oq= Ahí podes ver banda de cámaras de seguridad que están abiertas a Internet sin password. Con algo de paciencia podemos ver lo que muchos usuarios comparten en sus oficinas, veamos por ejemplo planillas de Excel: http://www.google.com/search?q=budget+filetype%3Axls Que lindo que es internet. Excelente descripción y muy buena la ética de primero avisar, y ante la falta de respuestas, hacerlo publico.

Lamentablemente la mayoría de los diarios de Argentina tienen sus versiones online igual de vulnerables, hace no mucho que minutouno.com hacia la validación para acceder a su sitio de administración mediante JavaScript (ergo, dicho en simple: si ponías ver el código veías cual era el password que tenias que tipear para ingresar).

Mas me asusta la seguridad de los bancos, la mayoría de las paginas exponen archivos “.include” que se pueden ver como texto plano y que tienen los usuarios que se utilizan para acceder a la base de datos.

Y lo que mas me divierte es los que ni siquiera requieren el esfuerzo que invertiste, hagamos un par de búsquedas en Google:
http://www.google.com.ar/search?hl=es&safe=off&q=intitle%3A%E2%80%9DEvoCam%E2%80%9D+inurl%3A%E2%80%9Dwebcam.html%E2%80%9D&btnG=Buscar&meta=&aq=f&oq=

Ahí podes ver banda de cámaras de seguridad que están abiertas a Internet sin password.

Con algo de paciencia podemos ver lo que muchos usuarios comparten en sus oficinas, veamos por ejemplo planillas de Excel:
http://www.google.com/search?q=budget+filetype%3Axls

Que lindo que es internet.

]]> Comentario de XSS y SQL Injection en Infobae.com por Ignacion Pironel http://www.patriciomolina.com/2010/02/xss-y-sql-injection-en-infobae-com/comment-page-1/#comment-55 Ignacion Pironel Fri, 05 Feb 2010 20:12:02 +0000 http://www.patriciomolina.com/?p=307#comment-55 Qué buen descubrimiento! Ahora Voy a tratar de tirar un truncate. Total imprimen los queries en comentarios y tengo los nombres de las tablas! Gracias por divulgar esta información! Saludos! Qué buen descubrimiento!
Ahora Voy a tratar de tirar un truncate. Total imprimen los queries en comentarios y tengo los nombres de las tablas! Gracias por divulgar esta información!

Saludos!

]]> Comentario de Machu Picchu por Verónica http://www.patriciomolina.com/2010/01/machu-picchu/comment-page-1/#comment-54 Verónica Tue, 02 Feb 2010 21:02:51 +0000 http://www.patriciomolina.com/?p=300#comment-54 Qué buena foto, Pato! Increíblemente linda. :-) Qué buena foto, Pato! Increíblemente linda. :-)

]]>