AddThis Smart Layers

jueves, 24 de abril de 2014

No hagáis el ridículo como yo




Después de haber el hecho el ridículo del año hoy al no contestar a una pregunta, me veo en la obligación de escribir esta entrada.

Las web que visitamos a diario reconocen las acciones que hacemos al interactuar con ellas, es decir, saben los elementos que hemos visitado o si hemos comprado algo en una tienda online, saben lo que hemos pasado a la "cesta", etc.

La forma que tiene una web de saber ese tipo de cosas en a través de las cookie. - Una cookie no es mas que datos que un servidor deja en nuestro navegador para posteriormente reconocernos si volvemos a acceder a la misma web.- 

Charla en Gr2Dest y en Programatel de la Universidad Politécnica de Madrid





Hola. hoy vengo a contaros las charlas que voy a impartir próximamente.

Como ya hice primero en la II HighSecCON y después en T3chFest las charlas serán sobre iniciación a los ataques XSS, pero tranquilos que no va a ser la misma chapa. He cambiado y ampliado la presentación para que no sea siempre igual. De todas formas voy a empezar a buscarme otro tema porque veo que me encasillo como los actores jeje.

DragonJAR Security Conference




Quizá llegue un poco tarde, pero no quería dejar pasar la oportunidad de apoyar esta estupenda iniciativa que viene desde Colombia, más exactamente en la Universidad de Manizales.

Será un evento por todo lo alto, a pesar de ser la primera edición, ya que cuenta con unos talleres que pintan genial y además los ponente son del mas alto nivel.

Particularmente, solo conozco en  persona a Marc Rivero (@seifred), y he tenido el inmenso placer de compartir escenario en la II HighSecCON. Ya hablé de el aquí, así que no me voy a poner pasteloso con los halagos que luego decís que se me ve el plumero. Solo decir que es una gran persona y mejor profesional.

miércoles, 23 de abril de 2014

Bypassing básico de filtros XSS IV





El otro día cotilleando los últimos tweets de Rober, vi que había empezado a publicar algún artículo sobre filtros básicos de XSS muy interesantes, y me invitó escribir una entrada sobre XSS, así que aquí está mi granito de arena.

Vamos con la cuarta entrega de los filtros básicos de XSS. 


En PHP existente algunas funciones que podemos utilizar para prevenir en cierta medida los ataques XSS.

En general muchas webs suele recomendar la función htmlentities, cuya salida es la conversión de los caracteres de entrada en entidades HTML. Esta función no es la panacea de todos los ataques XSS, simplemente es un pequeño filtro muy básico.


Por defecto la función tiene activado la flag ENT_COMPAT la cual convertirá las comillas dobles y solo deja las comillas sencillas. Tal vez este pequeño filtro sea un problema para mucha gente pero sigue siendo vulnerable.
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.