GitHub nuestro de cada día

Creo que todos sabemos que el control de versiones y sacar "backups" continuos son buenas prácticas.

Creo que todos también conocemos un poco acerca de GitHub (http://es.wikipedia.org/wiki/GitHub).

Lo que no parece claro es que no todos saben (o quieren saber) es que la cuenta GRATUITA de GitHub expone todo lo que publicamos:

"El código se almacena de forma pública, aunque también se puede hacer de forma privada, creando una cuenta de pago." 

Partiendo de eso:

Google: site:github.com peru notaria

Y por lo menos al parecer, la versión de producción es similar a la que se encuentra en forma PÚBLICA en GitHub:

Entonces, tú que has pagado tus miles de dolares a una persona o empresa para desarrollar tu página web o aplicación web, revisa por ejemplo si el código de tu aplicación web esta expuesto (Con el código es más fácil atacar no?).

Ahora revisa con paciencia y encontrarás como parte del código expuesto, archivos de configuración en general con contraseñas, usuarios, etc. (Y si reutilizo contraseñas?)

Exponer Targets de Samurai en la LAN

Advertencia: Hacer esta modificación expone servicios vulnerables en la LAN!

Muchas veces, se necesitan ambientes de prueba vulnerables para practicar o para un lab.

La distribución de SAMURAIWTF2.1 viene con unos cuantos: DVWA, Webgoat, etc. Pero sólo están configurados para ser accedidos desde localhost.

Para exponer en la LAN Webgoat:
modificar en el archivo /etc/tomcat7/server.xml
<Connector address="192.168.0.100" port="8080" protocol="HTTP/1.1"
donde debemos reemplazar 192.168.0.100 por la dirección de nuestra interface de red

Para exponer en la LAN Mutillidae:
reemplazar en el archivo /etc/apache2/sites-available/mutillidae
<VirtualHost 127.42.84.6:80>
por
<VirtualHost *:8090>

Limahack 2013

Let the right one in

Ciis Tacna 2013

Martes 15:
Pentesting Web Application

Miercoles16:
Hacking Web Services

No mi amor.....

Yo se que esto es muy conocido (http://www.debasish.in/2012/01/bypass-captcha-using-python-and.html), solo quería tenerlo a la mano cuando me digan (otra vez): "Haz visto el captcha de XXX?, porque no usamos ese?".

Aqui el captcha:

Seguro ya lo han visto en una pagina muy visitada y que nos da dolores de cabeza cada mes.

Hipotesis: "a poner eso, mejor no pongo nada"

#!/usr/bin/python

from PIL import Image
import os, sys
import ImageEnhance

#im_name = raw_input('Archivo :')
im_name = sys.argv[1]
im = Image.open(im_name)
im = im.convert("L")
contr = ImageEnhance.Contrast(im)
im = contr.enhance(2)
im.save("temp.gif", "GIF")

original = Image.open('temp.gif')
bg = original.resize((original.size[0] * 3, original.size[1] * 3), Image.BICUBIC)
bg.save("temp2.gif", "GIF")

os.system("tesseract temp2.gif output-ocr > /dev/null 2>&1")
foutput = open('output-ocr.txt', 'r')
text = foutput.readline().rstrip()
foutput.close()
print im_name
print text

Probándolo:

$ ./bartola.py captcha3.jpeg
captcha3.jpeg
MUBR

Se que el script se puede mejorar mucho más para tener un porcentaje mayor de acierto (este script solo tiene el 30%), por ahora es suficiente para demostrar el punto.

Yo se que hay todo un tema de funcionalidad, y no pretendo discutir eso. Solo que si van a poner uno asi, mejor no pongan nada.

No mi amoooooooooooor...

TRAMITEITOR

Con HD (servicio pagado)

Sin HD (libre como el viento)

http://ww4.essalud.gob.pe:7777/acredita/

http://www.sunat.gob.pe/cl-ti-itmrconsruc/jcrS00Alias

Y si trabaja para el estado, http://www.peru.gob.pe/transparencia/:

Santos ISPs Batman!

Feriado largo no laborable. Entre otras cosas raras de este ISP: