Jun 6 2008

PHPMyAdmin vulnerable a inyección SQL?

Gabolonte Blasfemus

image Según The Hacker Webzine lo es, cuyo autor incluso publica código de ejemplo mostrando como con un simple formulario y una línea de Javascript sería posible comprometer una base MySQL cuyo nombre y el de sus tablas sea conocido o adivinable, si visitamos un sitio que explote esta vulnerabilidad mientras aún permanecemos con la sesión iniciada en PHPMyAdmin. La única forma de prevenir esto es, por supuesto, no navegar otros sitios mientras trabajamos con él, y una vez que acabamos cerrar y volver a abrir el navegador, o utilizar las opciones de eliminación de información privada para eliminar la sesión PHP que por defecto dura alrededor de 24 minutos desde la última vez que se tuvo acceso al software.


May 30 2008

PINtado

Gabolonte Blasfemus

image Así me sentí al darme cuenta ayer del castigo de Google AdSense por no haber ingresado en mi cuenta el PIN de validación que ellos aún no me enviaron y que yo ya había vuelto a solicitar oportunamente; este consiste en anular todos los anuncios pagos en mi cuenta y permitir sólo anuncios de servicio público, los cuales no generan ingresos. Mirando en los foros me encontré que resulta ser algo bastante común este problema, sin buscar me encontré por lo menos dos usuarios exactamente en la misma situación que la mía.

Y no es que se me congele la sangre y comience a sentir espasmos y sudor frío ante esto. Después de todo, creo que si hay algo que se ve en Geekotic es que no se trata de un weblog fiebre-del-oro hecho y pensado para acumular PageRank y plata a lo loco y así zafar de tener que ir a laburar en serio. Pero aún así, no me disgustaría que al menos pueda cubrir parte del hosting con las monedas que me tire AdSense.

Supongo que tendré que esperar e insistir en los foros si veo que no pasa naranja.

Actualización: Irónicamente, esta misma tarde me encontré en mi puerta la dichosa postal de Google con el correspondiente PIN. Eso sí que es rapidez! Ahora vamos a ver cuánto tardan los anuncios en volver a la normalidad…


May 29 2008

Comprometiendo equipos vía Flash

Gabolonte Blasfemus

image No es la primera vez que ocurre, pero esta vez es masivo. En otra oleada de ataques masivos de inyección SQL, en los cuales se busca infectar la mayor cantidad de sitios posible, esta vez la carga maligna que descargan en los servidores afectados son básicamente animaciones Flash (archivos swf) que explotan un bug de Adobe Flash Player conocido como CVE-2007-0071, supuestamente ya solucionado en la última versión del reproductor, pero reportado por Symantec como aún efectivo en ésta. Este bug del reproductor Flash permite descargar e instalar cualquier programa que se le ocurra al atacante, desde keyloggers hasta troyanos de todo tipo, y todo lo que hace falta es abrir un sitio web que contenga un objeto Flash maligno. Dado que el 99% de los sitios web portan algún objeto Flash, la decisión es difícil, pero si realmente se quiere tener cuidado, lo mejor es deshabilitar los objetos Flash a menos que sea realmente necesario utilizarlos, ya que no se sabe si el sitio legítimo al que accedemos hoy pudo haber sido comprometido hace días para infectar a sus visitantes.

En Opera podremos habilitar o deshabilitar Flash a voluntad mediante un botón personalizado, mientras que en Firefox se puede usar la extensión Flashblock; y en Internet Explorer… bueno, úsenlo si son temerarios! Seguro que algunas herramientas hay pero no recuerdo ninguna para recomendar en este momento.

Y recuerden, cuidarse es quererse Tongue.

Vía Dark Reading.


May 29 2008

Todas las herramientas de Sysinternals a un click de distancia

Gabolonte Blasfemus

image Los muchachos de Sysinternals también se subieron al tren de los servicios live de Microsoft, y de momento ya están ofreciendo una forma muy fácil y directa de disfrutar de la últimas versiones de sus afamadas herramientas, directamente desde el explorador de Windows, sin perder el tiempo navegando páginas y descripciones. Sólo tenemos que ingresar la dirección \\live.sysinternals.com en el explorador de Windows o en Internet Explorer, y nos encontraremos con dos carpetas, Files y Tools; en la primera tendremos la versión en archivos zip de cada programa, y en la segunda encontraremos directamente todos los ejecutables y sus archivos accesorios juntos para descargar a nuestro escritorio con sólo arrastrarlos con el mouse. Para quienes le perdimos el gusto al explorador de archivos de Microsoft desde hace tiempo, también podremos hacer lo mismo pegando la dirección en un panel de Total Commander, e incluso podremos también verlas y descargarlas si ingresamos http://live.sysinternals.com/ desde cualquier navegador.

Vía IntelliAdmin.


May 28 2008

Detector de contactos invisibles en Yahoo! Messenger

Gabolonte Blasfemus

image Y! Detector, es un sitio que, de manera similar a invisible-scanner, permite, gracias a falencias del protocolo del mensajero de Yahoo!, chequear el estado de cualquier usuario de su mensajero, incluso si este se encuentra invisible, y todo esto sin solicitar ninguna cuenta ni clave de acceso, sólo el id del usuario del que se desea conocer su estado. Calculo que en la medida que Yahoo! lo siga permitiendo, veremos cada vez más sitios de este tipo, que afortunadamente no se ponen a lucrar con las cuentas de sus visitantes.

Vía iMessengr.