Continuámos con el análisis de seguridad a la web de P.C. Green. Si te perdiste las entregas anteriores, las tienes accesibles desde aquí.

Hoy hablaré sobre como potencialmente podemos enviar correos electrónicos a terceros, usando su propia infraestructura.

Si accedemos a la página de contacto de P.C. Green, accesible desde www.pcgreen.com/wac2/webtemplates/m2/index.asp?trg=Comments.asp, o tal y como vimos el otro día, directamente por www.pcgreen.com/wac2/webtemplates/m2/Comments.asp, veremos que se nos presenta el conocido formulario de contacto.

Es en general una buena idea implementar este sistema en nuestros desarrollos en vez del típico mailto.…

Continuar leyendo...

Después de acontecimientos pasados, y tras comprobar que en efecto no tienen intención de corregir los problemas de seguridad, reemprendemos la labor con esta nueva entrega.

El artículo de hoy solamente se centrará en las debilidades tipo Pishing o Content spoofing.

Cuando accedemos a la sección de tienda de P.C. Green, y si prestamos un poco de atención a la URL que aparece en nuestro navegador que es del estilo a www.pcgreen.com/wac2/webtemplates/m2/index.asp?trg=newandspecial.asp&SID=672A87D731C84735BD0023839C737400, podremos concluir varios detalles que pueden resultarnos de interés:
– La web está desarrollada en páginas ASP.…

Continuar leyendo...

En nuestro anterior capítulo, avisé a P.C. Green de las deficiencias de su web, previamente al análisis público en mi bitácora, por si querían solucionar las incidencias.

Pese a que no lo esperaba, ya he tenido respuesta por su parte, bueno, de su daemon:

From: Mail Delivery System <[email protected]>
To: Javier Gutiérrez Chamorro
Date: Mon, 31 Jan 2005 20:59:33 +0100 (CET)
Subject: Undelivered Mail Returned to Sender

This is the Postfix program at host cocotero.tiscali.es.

I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations.…

Continuar leyendo...

He desarrollado un pequeño benchmark en Flash, que de forma muy sencilla nos da el rendimiento sintético de nuestro procesador.

Se utilizan operaciones con enteros, coma flotante y cadenas para realizar la simulación, y se retorna un valor cuantitativo calibrado en referencia a mi AMD Athlon XP 2400+.

El resultado es simplemente orientativo, ya que dependiendo de los procesos que tengamos en ejecución en ese momento, el resultado puede variar (habitualmente a la baja).

El objetivo de mi experimento era simplemente ver que arquitecturas favorecen en mayor medida la ejecución de Flash, por lo que agradecería vuestras colaboraciones.…

Continuar leyendo...

A estas alturas, huelga decir, que es mucho más sencillo y seguro utilizar sesiones en vez de cookies, para almacenar información temporal sobre el usuario conectado al sistema.

Habitualmente necesitamos guardar el estado de datos tales como el ID de usuario conectado, y tenerlos disponibles durante toda la aplicación.

Es evidente que si almacenamos el ID de usuario en una cookie, la manipulación de ese dato, es tan sencilla como editar un en nuestro disco duro.

A nivel de rendimiento, también es mucho más eficiente utilizar sesiones, aproximadamente un 400% más veloces.

Con este artículo, no quiero decir que no debemos usar cookies, ya que son indispensables cuándo lo que se necesita es almacenar información durante más de una sesión, o bien si necesitamos poder leerla y guardarla desde Javascript.…

Continuar leyendo...

He tenido algo de tiempo estos días y lo he dedicado a Simple PHP Blog.

Ahora la página de estadísticas, es algo más veloz, además de ofrecer conteos sobre votos y puntuaciones de los artículos.

Lo siguiente que tengo en mente para desarrollar es:
– Búsqueda mejorada: Permitiendo elegir la cantidad de resultados a mostrar, y donde buscar (entradas, comentarios, páginas estáticas, …). Por defecto se retornarán como mucho 10 resultados, centrándose en las entradas. El usuario podrá alterar estos valores.
– Implementar algún tipo de cache permanente en la función blog_entry_listing.…

Continuar leyendo...