PHP

    Aplicación Web Extremadamente Vulnerable

    xvwa.png

    Xtreme Vulnerable Web Application es una aplicación web con muchos fallos de seguridad implementados de forma intencionada.

    Ésta es otra más de las muchas que ya existen. Está escrita en PHP y contiene fallos de seguridad de los siguientes tipos:

    • SQL Injection – Error Based
    • SQL Injection – Blind
    • OS Command Injection
    • XPATH Injection
    • Unrestricted File Upload
    • Reflected Cross Site Scripting
    • Stored Cross Site Scripting
    • DOM Based Cross Site Scripting
    • Server Side Request Forgery (Cross Site Port Attacks)
    • File Inclusion
    • Session Issues
    • Insecure Direct Object Reference
    • Missing Functional Level Access Control
    • Cross Site Request Forgery (CSRF)
    • Cryptography
    • Unvalidated Redirect & Forwards
    • Server Side Template Injection
    Para ejecutar la aplicación necesitas un sistema con Apache, PHP y MySQL. Idealmente deberías instalarla en una máquina virtual, pero como las VMs son cosa del pasado y cómo ya sabéis todos, hemos llegado al futuro ;), he creado una imagen Docker con todo lo necesario para que puedas jugar con ella.

    Suponiendo que tienes Docker instalado en tu máquina, todo lo que tienes que hacer es ejecutar:

    Oct 22, 2015
    SeguridadHacking

    Análisis rápido de los ficheros maliciosos encontrados en Cyberhades

    index.jpeg

    Como prometía ayer en la entrada donde os contaba la incidencia en el blog, os comento en esta entrada el pequeño y rápido análisis de unos de los ficheros: bergpfh.php. El otro fichero es básicamente igual que éste, pero con un par de pequeños cambios, así que sólo hablaremos del primero.

    Como os comentaba, los ficheros están ofuscados, aquí podéis ver el código original:

    Para de-ofuscar (o llámalo como quieras) el fichero eché de mano de un poco de Ruby. Para los curiosos, aquí tenéis el código del script tal y como lo dejé, o sea, hecho una porquería:

    Jul 28, 2013
    CyberlabCyberHadesSeguridadHacking

    Afina tus habilidades de penetración web con Mutillidae

    mutillidae.PNG

    Multillidae es otro de los proyectos con los que podemos jugar y afinar nuestras técnicas de penetración web. Es un proyecto multiplataforma escrito en PHP y que se puede instalar usando XAMPP. También está disponible en la distribución Samurai WTF

    Este proyecto cubre todas las vulnerabilidades recogidas en el OWASP Top 10.

    Puedes descargar el proyecto desde aquí.

    Como extra, en youtube puedes encontrar un canal (@webpwnized) (desarrollador actual del proyecto) con gran cantidad de vídeo tutoriales sobre esta plataforma. También puedes acceder a dichos vídeos desde la web de irongeek (creador inicial de Mutillidae).

    Mar 16, 2012
    SeguridadvideosHacking

    Tabla de referencia comparando con todo detalle PHP, Perl, Python y Ruby

    ComparaPPPR

    (click para ampliar)

    Casi podrías aprender a programar en estos cuatro lenguajes de programación simplemente mirando esta hoja de referencia (formato tabla) donde nos muestran con todo nivel de detalle desde los operadores, separadores, matrices, declaración de variables,  debuggin, funcionesoperadores lógicos, etc, de PHP, Perl, Python y Ruby.

    Puedes consultarla al completo aquí.

    Una genial hoja de referencia (Cheat Sheet) muy útil.

    Visto en HackerNews.

    Feb 29, 2012
    ProgramaciónRecursos Informática

    PHP para Android

    pfa_pfaewok_logo.png

    PFA o PHP For Android nos proporciona la posibilidad de programar en PHP sobre nuestro dispositivo Android. Éste se apoya en SL4A (Script Layer for Android) del que en su día hablamos aquí y por lo tanto necesitas tenerlo instalado.

    Aquí una introducción

    Y aquí un vídeo donde podemos ver el proceso de instalación

    PHPforAndroid.apk HOWTO install and test from irontec on Vimeo.

    Feb 8, 2011
    AndroidProgramación

    Rarezas del acceso a ficheros en PHP bajo Windows

    php_windows

    En la lista de correo full disclousere de seclist.org apareció esta mañana un correo sobre una pequeña investigación realizada por Vladimir Vorontsov y Arthur Gerkis.

    En dicha investigación, se demuestra el comportamiento, en ciertos casos, un poco extraño del acceso a ficheros del interprete de PHP bajo Windows. Específicamente, éste se produce con la llamada a la función FindFirstFile() de la API de Windows. Dichos investigadores apuntan a que este comportamiento o error, a día de hoy sigue presente en todas las versiones de PHP/ Windows.

    Jan 12, 2011
    HackingSeguridadProgramación

    PHP: todo lo que necesitas para jugar con la Web

    Espectacular artículo donde te explica cómo programar con PHP usando varios ejemplos muy prácticos. Es sencillo pero explica por ejemplo cómo interactuar con Javascript, cargar contenido de una web, mostrar contenido XML, y mucho más, todo explicado de forma sencilla y muy práctica.

    Lo único malo, está en inglés. Pero si más o menos controlas un poco el idioma y quieres acercarte al lenguaje PHP, no dudes en echarle un vistazo.

    Apr 15, 2010
    ProgramaciónRecursos Informática

    De PHP a .EXE

    Bambalam es un compilador de código PHP a un ejecutable de windows, de manera que puedes ejecutar código PHP en tu escritorio sin necesidad de tener instalado el intérprete de PHP. Este compilador no es nada nuevo, fecha del 2006 y ni yo programo en PHP desde hace muuuucho tiempo, pero me pareció interesante para aquellos que desarrollan en ese lenguaje.

    Según la página oficial de esta aplicación, la conversión la hace apoyándose en la librería Turck MMCache for PHP. Otra nota es que esta aplicación no es un compilador real, aunque yo lo haya definido como compilador.

    Dec 31, 2009
    Programación

    WampServer para crear tu servidor web

    Esta es simplemente una opción de software frente a otros como Appserv pero ésta instalación es considerada mejor y más sencilla bajo windows. Tendrás Apache, PHP, MySQL y phpMyAdmin (gestor de base de datos) funcionando en tu equipo.

    En el proceso de instalación se crea una carpeta en tu disco duro, por defecto wamp \ www, en la que se albergarán todos los archivos de tu sitio. Si quieres cambiar la ubicación de esta carpeta, puedes hacerlo desde la opción www directory en los menús de configuración de WampServer. Para acceder a tu sitio web sólo tienes que escribir en la barra de direcciones de tu navegador http://localhost.

    Dec 22, 2009
    Recursos Informática

    Eclipse Galileo

    eclipse_galileo

    Eclipse Galileo es el nombre de la última versión de este gran editor de programación. Aquí pódeis encontrar el anuncio oficial y aquí la página oficial de este nueva versión. De entre la mejoras en esta versión parece que han mejorado el autocompletado, la gestión de plugins y los tiempos de respuesta además de como se anuncia en la nota de prensa: soporte de Cocoa 32 y 64 bits en Mac, nuevo analizador de memoria, mejoras en las herramientas de desarrollo PHP, mejoras en BIRT, nuevas herramientas XSL y mejoras en el sistema de modelado. En fin, parece que ha habido mucho trabajo detrás de esta nueva versión. ¡Yo ya me lo estoy bajando!

    Jun 27, 2009
    Programación

    Consejos para hacer la Web más rápida (por Google)

     google.jpg

    En Google Code nos ofrecen varios consejos de programación para optimizar nuestras páginas Web para hacerlas más rápidas. Viniendo de Google, tendremos que hacerles un poco de caso ¿verdad?.

    Desde optimizar el código JavaScript a optmizar los gráficos Web, en este enlace podrás ver todos los consejos ofrecidos:

    http://code.google.com/intl/es/speed/articles/

    Jun 26, 2009
    Recursos InformáticaProgramaciónRedes