Hack

La nueva versión del plugin de Adobe borra los archivos termporales de vídeo justo después de abrirlos para evitar que tengamos la tentación de copiar el vídeo simplemente copiando el archivo /tmp/FlashXXXX. hons, un usuario de commandlinefu.com ha publicado un comando que crea un enlace simbólico al controlador del archivo con el nombre del archivo borrado: $ for h in $(find /proc/_/fd -ilname "/tmp/Flash_" 2>/dev/null); do > ln -s "$h" $(readlink "$h" | cut -d' ' -f1); > done ...

function logged_in(id, txt) { document.getElementById(id).innerHTML = txt; } En el artículo original, de [Mark Cardwell][], se muestra como podemos saber si un visitante de nuestra página está conectado a diferentes servicios, como GMail, Facebook, Twitter, etc, aprovechando las diferencias de comportamiento que muestran estos servicios al acceder a enlaces concretos si el usuario está conectado o no. GMail ----- Conectado a GMail? __**...**__ Para comprobar si el visitante está conectado a GMail se intenta cargar una imagen de la siguiente manera: El src de la imagen hace referencia a la imagen del perfil de Mark, si no hemos iniciado sesión en GMail, la dirección del src no devolverá una imagen, sino que redireccionará a una página HTML. Con los atributos onload y onerror podremos distinguir si la imagen ha cargado o no, por lo que podremos saber si el usuario ha iniciado sesión o no. Esto parece que funciona en Firefox, Chrome, Opera, Safari y varias versiones de Internet Explorer. ...

El router es un Arcadyan, modelo Astoria AVR4518PW. Y parece que es vulnerable a ataques CSRF. Si tienes este router y has iniciado sesión en el panel de administración, pulsando en el siguiente enlace se cerrará la sesión de usuario. Si has cambiado la IP por defecto, 192.168.2.1, no funcionará, pero lo puedes probar escribiendo en la barra de direcciones del navegador: javascript:document.location.href='http://192.168.2.1/cgi-bin/logout.exe' **INCLUSO si lo haces desde un navegador distinto al que tengas abierta la página de administración del router, o desde la consola!!!__ Por lo que supongo que el router, una vez autenticado el usuario desde una IP, autoriza cualquier petición que provenga desde esa IP. ...

Firesheep es un complemento para Firefox que permite robar la identidad de los usuarios de diferentes redes sociales (Dropbox, Facebook, Flickr, Google, Twitter, Windows Live, Wordpress…) que se encuentren conectados a la misma red que el ladrón. La mejor manera de evitarlo es cifrar el tráfico, por ejemplo utilizando HTTPS-everywhere, otro complemento para Firefox. Poco después surgió Blacksheep, otro complemento más, que nos alerta si un usuario de la misma red está utilizando FireSheep. ...

No se ha encontrado ningún resultado Si ahora mismo tienes una sesión de Google iniciada, puedes ir al histórico de búsquedas de Google y verás que aparece una búsqueda que no has realizado… conscientemente. El truco, un ataque CSRF comentado por Jeremiah Grossman, consiste en añadir en el código HTML de la página una imagen cuyo src sea la URL de la búsqueda que queramos que realice el que visite la página. Por ejemplo: ...

El USB Dumping consiste en copiar el contenido de un USB introducido en un ordenador, sin que la víctima se entere. En Ubuntu, podemos conseguir que se ejecute el script que llevará a cabo el robo de información, cuando se conecte un dispositivo USB. Para ello, deberemos crear alguna regla de udev. udev y sysfs udev se encarga de crear los nodos en /dev para los dispositivos presentes en el sistema. Para ello, se basa en la información prorcionada por sysfs y una serie de reglas proporcionadas por el usuario. sysfs devuelve información de los dispositivos conectados al sistema, y udev lo utiliza para crear los nodos /dev. ...

Facebook permite buscar usuarios por su dirección de correo. De hecho, es así como encuentra amigos en GMail o en el Messenger. Si usamos GMail, podemos seguir usando nuestro correo personal pero evitando que nos puedan localizar usando éste. Podemos añadir un sufijo a nuestro nick en la dirección de correo, precedido por el signo +, y los correos enviados a esa dirección nos seguirán llegando a nuestra cuenta. Por ejemplo, los correos enviados a spamme+please@gmail.com, seguirán llegando a la cuenta spamme@gmail.com. ...

El ataque David Hasselhof es una de las técnicas de guerrilla de oficina con la mejor relación coste/humillación ^[cita\ requerida]^, basta encontrarse una sesión de usuario abierta (y no protegida contra este “ataque”) y, ¡zas!, en toda la boca. No sé si un aviso disuasorio como medida de prevención contra este tipo de ataque será efectivo, pero me ha hecho preguntarme cómo podríamos incluirlo en Gnome. Capturas de pantalla Curiosamente, lo primero que he encontrado sobre la ventana de desbloquear la pantalla es que no se puede realizar una captura de pantalla de la misma pulsando la tecla Impr Pant; pruébalo! ...

DNS Cache Snooping consiste en realizar una serie de peticiones de resolución de nombres de dominio a la caché de un servidor DNS, con la finalidad de conocer si los usuarios de ese servidor han visitado esos dominios. Hay que tener en cuenta que las entradas en la caché tienen un tiempo de caducidad, y si durante ese tiempo no ha habido una petición a un dominio, éste es eliminado. ...