Archivo de la categoría Programación

Vulnerabilidades en la Web de P.C. Green (Parte IV)



Continuámos con el análisis de seguridad a la web de P.C. Green. Si te perdiste las entregas anteriores, las tienes accesibles desde aquí.

Hoy hablaré sobre como potencialmente podemos enviar correos electrónicos a terceros, usando su propia infraestructura.

Si accedemos a la página de contacto de P.C. Green, accesible desde www.pcgreen.com/wac2/webtemplates/m2/index.asp?trg=Comments.asp, o tal y como vimos el otro día, directamente por www.pcgreen.com/wac2/webtemplates/m2/Comments.asp, veremos que se nos presenta el conocido formulario de contacto.

Es en general una buena idea implementar este sistema en nuestros desarrollos en vez del típico mailto.…

Continuar leyendo...

Validaciones de estándares en SPHPBlog



– HTML: validator.w3.org/check?uri=http%3A%2F%2Fwww.javiergutierrezchamorro.com.
– CSS: jigsaw.w3.org/css-validator/validator?uri=http%3A%2F%2Fwww.javiergutierrezchamorro.com&usermedium=all
– RSS: feedvalidator.org/check.cgi?url=http%3A%2F%2Fwww.javiergutierrezchamorro.com%2Frss.php
– RDF: feedvalidator.org/check.cgi?url=http%3A%2F%2Fwww.javiergutierrezchamorro.com%2Frdf.php
– Atom: feedvalidator.org/check.cgi?url=http%3A%2F%2Fwww.javiergutierrezchamorro.com%2Fatom.php

Donde más trabajo queda por hacer, es en efecto en el código HTML, habrá que reescribir muchas partes de las plantillas.…

Continuar leyendo...

Concurso Flash Lite



Me he presentado al concurso de desarrollo Flash Lite que organiza Marcomedia.

Aunque los premios son muy apetecibles, mis pocos conocimientos de Flash, así como la falta de tiempo, han hecho que me decidiera por aspirar a recibir solamente la camiseta de Flash Lite que regalan únicamente por participar.

Bajo el título de Free T-Shirt, la idea de mi desarrollo es simple: un mensaje que dice que quiero una camiseta gratis. Lo difícil ha sido decidir a que categoría inscribía la pieza, al final me decidí por Most Innovative Use of Flash Lite, ya que sus 119 bytes de tamaño, son innovadores en una aplicación Flash.…

Continuar leyendo...

Vulnerabilidades en la Web de P.C. Green (Parte III)



Después de acontecimientos pasados, y tras comprobar que en efecto no tienen intención de corregir los problemas de seguridad, reemprendemos la labor con esta nueva entrega.

El artículo de hoy solamente se centrará en las debilidades tipo Pishing o Content spoofing.

Cuando accedemos a la sección de tienda de P.C. Green, y si prestamos un poco de atención a la URL que aparece en nuestro navegador que es del estilo a www.pcgreen.com/wac2/webtemplates/m2/index.asp?trg=newandspecial.asp&SID=672A87D731C84735BD0023839C737400, podremos concluir varios detalles que pueden resultarnos de interés:
– La web está desarrollada en páginas ASP.…

Continuar leyendo...

Conclusiones sobre el futuro de C++ Builder



Leyendo la transcripción de The future of C++Builder with Eli Boling, en Borland Development Network, he podido confirmar algunas conclusiones a las que ya había llegado, y matizar otras.

– Aparecerá aproximadamente con la nueva versión de Delphi.
– Incorporará un IDE mejorado, basado en el actual de Delphi 2005.
– Añade algunas mejoras en cuanto a plantillas y compatibilidad con bibliotecas estándar en el compilador.
– No hay grandes mejoras en cuanto a calidad de código generado, ni soporte de instrucciones IA64, aunque si a nivel de ensamblador.
– Los componentes VCL seguirán estando escritos en Object Pascal.…

Continuar leyendo...

Vulnerabilidades en la Web de P.C. Green (Parte II)



En nuestro anterior capítulo, avisé a P.C. Green de las deficiencias de su web, previamente al análisis público en mi bitácora, por si querían solucionar las incidencias.

Pese a que no lo esperaba, ya he tenido respuesta por su parte, bueno, de su daemon:

From: Mail Delivery System <[email protected]>
To: Javier Gutiérrez Chamorro
Date: Mon, 31 Jan 2005 20:59:33 +0100 (CET)
Subject: Undelivered Mail Returned to Sender

This is the Postfix program at host cocotero.tiscali.es.

I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations.…

Continuar leyendo...

Vulnerabilidades en la Web de P.C. Green (Parte I)



Con todo lo que ha ocurrido hoy con P.C. Green, no he podido evitar el echarle un vistazo a su web.

He quedado francamente sorprendido. Hacía mucho que no veía un sitio potencialmente vulnerable a todos los ataques de intrusión.

Así que he decidido hacer un artículo comentando las malas prácticas que se utilizan en esa web, para que sepamos aquello que es potencialmente inseguro, y por tanto deberemos evitar.

Por ética, he decidido avisar a P.C. Green antes de publicar el artículo, de esta forma disponen de un margen de tiempo para corregir los problemas, antes de que queden expuestos al público.…

Continuar leyendo...

Benchmark de CPU/FPU en Flash



He desarrollado un pequeño benchmark en Flash, que de forma muy sencilla nos da el rendimiento sintético de nuestro procesador.

Se utilizan operaciones con enteros, coma flotante y cadenas para realizar la simulación, y se retorna un valor cuantitativo calibrado en referencia a mi AMD Athlon XP 2400+.

El resultado es simplemente orientativo, ya que dependiendo de los procesos que tengamos en ejecución en ese momento, el resultado puede variar (habitualmente a la baja).

El objetivo de mi experimento era simplemente ver que arquitecturas favorecen en mayor medida la ejecución de Flash, por lo que agradecería vuestras colaboraciones.…

Continuar leyendo...

Cookies vs Sesiones en PHP



A estas alturas, huelga decir, que es mucho más sencillo y seguro utilizar sesiones en vez de cookies, para almacenar información temporal sobre el usuario conectado al sistema.

Habitualmente necesitamos guardar el estado de datos tales como el ID de usuario conectado, y tenerlos disponibles durante toda la aplicación.

Es evidente que si almacenamos el ID de usuario en una cookie, la manipulación de ese dato, es tan sencilla como editar un en nuestro disco duro.

A nivel de rendimiento, también es mucho más eficiente utilizar sesiones, aproximadamente un 400% más veloces.

Con este artículo, no quiero decir que no debemos usar cookies, ya que son indispensables cuándo lo que se necesita es almacenar información durante más de una sesión, o bien si necesitamos poder leerla y guardarla desde Javascript.…

Continuar leyendo...

Trabajo en SPHPBlog



He tenido algo de tiempo estos días y lo he dedicado a Simple PHP Blog.

Ahora la página de estadísticas, es algo más veloz, además de ofrecer conteos sobre votos y puntuaciones de los artículos.

Lo siguiente que tengo en mente para desarrollar es:
– Búsqueda mejorada: Permitiendo elegir la cantidad de resultados a mostrar, y donde buscar (entradas, comentarios, páginas estáticas, …). Por defecto se retornarán como mucho 10 resultados, centrándose en las entradas. El usuario podrá alterar estos valores.
– Implementar algún tipo de cache permanente en la función blog_entry_listing.…

Continuar leyendo...