Con respecto a tu propia PC podrias buscar material sobre "hardening" del SO que estes utilizando, podes encontrar varios consejos utiles 

Felicidades @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login !!

Hola gente !
Estoy tratando de extraer el Xpath de ciertos botones o campos de texto dentro de una web y por lo que he leido, muchos recomiendan FireBug que al instalarlo en el navegador con el click derecho tenes la opción de copiarlo directamente. Este no es mi caso ya que despues de haber instalado dicha extensión no encuentro la opción.
Asique la pregunta
¿Conocen alguna otra tool o manera de extraer el Xpath ?

Gracias !!

Hola gente !
Despues de haber luchado  como una semana con esto, no lo podia hacer andar jaja me abria el navegador pero no entraba a la pagina, se quedaba el firefox en blanco.
Les comparto la solución que funcionó para mi, era desactivar marionette. Por lo que la forma de importar el geckodriver me quedó de esta manera:

from selenium import webdriver
from selenium.webdriver.common.desired_capabilities import DesiredCapabilities

cap = DesiredCapabilities().FIREFOX
cap["marionette"] = False
driver = webdriver.Firefox(capabilities=cap, executable_path='/home/user/geckodriver')

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Los contenidos son "abstractos" por decirlo de alguna manera, no aprendes a atacar

Si, el de Experto Universitario en Hacking Etico, Si estas empezando de cero te lo recomiendo aunque no vas a ver nada que no puedas aprender aca en el foro o por tu cuenta. Los contenidos son "abstractos" por decirlo de alguna manera, no aprendes a atacar en si (algunas cosas si) pero tenes una idea general de todos los temas de una muy buena manera.
Si tenes la plata y las ganas, mal no te va a venir, pero si queres revisar el temario y aprenderlo por tu cuenta tambien lo podes hacer y mas todavia con la cantidad de material que hay aca en el foro y online. Lo mas valioso es el certificado de UTN que vas a poder agregar a tu CV supongo.
Saludos !

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color 
Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !

Gracias por la explicación tan sencilla !!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
La lectura 6 del firewall me aparece vacía.

Un saludo y gracias.

Fixed ! Gracias por avisar

Hola a todos !

Creo este post para los que recién nos iniciamos en el hacking. Personalmente no tengo demasiada experiencia, hice un curso de hacking en la UTN (Arg) donde los conceptos se exponían de manera mas teórica que practica, pero es lo que me permite ahora tener un conocimiento general sobre los temas que voy a ir presentando.

Link al curso por si les interesa You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En síntesis, mientras investigo y aprendo mas a fondo sobre cada tema, voy a crear un post sobre el mismo con el material que utilicé, los conceptos aprendidos, recursos útiles, herramientas y ejercicios prácticos para que hagamos.
Les pido que si les es útil el material pongan un comentario sobre que les parece, si tienen algo para agregar háganlo y si ven que estoy errado en algo por favor díganlo!

Antes que nada si al leer esto esperas descargarte una tool "automagica" que te permita hackear la NSA, estas en el lugar equivocado. Muy por el contrario en este primer post traigo para compartir algunos PDF con conceptos básicos pero absolutamente necesarios. Cuando veamos temas mas avanzados lo que aprendamos ahora sera realmente útil para entender las cosas.

Bueno, comenzamos !

---

Al principio nos tenemos que meter en todo esto de las redes, protocolos, y un montón de siglas raras (SSH, DNS, FTP, SSH, DOS, etc) que de a poco vamos a aprender que significan. No es necesario que lo sepas de memoria, pero es la base de todo lo que sigue, cada vez que te plantees un problema o quieras hacer algo, es gracias a saber esto que se te van a ocurrir maneras de acceder a sistemas o buscarle la vuelta a lo que estés intentando hacer.

Lectura 1: PROTOCOLOS TCP-IP
¿Que es ? ¿Para que sirve? ¿Como se establece una conexión?
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Lectura 2: Ataques contra redes
En este se detallan los ataques mas comunes a tener en cuenta y también se explican conceptos como DNS, Telnet, FTP, HTTP, Sniffing, DOS/DDOS, también da explicación sobre la exploración de puertos TCP/UDP y ¿para que quisiera uno explorar puertos ?! tranquilo, te explica todo detalladamente y no es una lectura pesada sobre el tema.
Ah me había olvidado de contarte, TODO EL MATERIAL ESTA EN ESPAÑOL !!!

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Lectura 3: Era un dia normal hasta que...
A esta altura si leíste el material de arriba tal vez estés un poco aburrido o tal vez todavía te cueste creer que esto es importante, asique te voy a dejar una lectura mas recreativa que técnica, pero me gusto que este escrita en primera persona, trata sobre un administrador que se da cuenta que su sistema fue vulnerado, que es lo que hace, como es el trabajo de alguien que es responsable de seguridad..

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
(Si querés a esta lectura te la podes saltear!  )

---

Lectura 4: Anatomía de un Ataque Informático.
Temas que trata esta lectura
Fases de los ataques:
1. Seguir el rastro
2. Exploración
3. Enumeración
4. Obtener el acceso o Denegación de servicio
5. Escalada de privilegios
6. Mantener el acceso
7. Eliminación del rastro
8. Colocación de puertas traseras  shh hice copy/paste, no le cuentes a nadie

También da una serie de cosas a tener en cuenta, google hacking, information gathering, ¿para que sirve un whois? ¿que información estoy buscando?
Lo bueno de este PDF es que cuenta todo paso a paso, va recomendando herramientas en cada etapa, también webs para buscar exploits, y también te comparte (algunos) de los comandos que utiliza

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Lectura 5: Puertos y Protocolos
Bueno al principio del material vuelve a explicar que es TCP-IP, pero seguramente esto te va a resultar aburrido porque ya lo leíste anteriormente, pero tenes 2 opciones, 1-Volver a leerlo de una manera mas detallada 2-Leer directamente la parte de puertos y protocolos y ponerte a tirar comandos en la consola con los ejercicios de netstat que trae 

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Lectura 6: ¿Que es un Firewall?
Bueno... no voy a agregar demasiado acá ya que solo habla sobre firewalls (yeahh so much fun  )

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Lectura 7: Empecemos a experimentar un poco...
Este material me resulto excelente, trae comandos paso a paso, explica tipos de ataques, niveles de seguridad, tecnicas criptograficas y obviamente que es la criptografía, y un par de cosas mas que las pongo en forma de lista para que quede mas bonito

   
• administración basica (chroot, sudo)
• configuración de red (ifconfig, route, DNS)
• registros del sistema
• monitorización de los ficheros log
• introducción y uso basico de SSH
• redirección de puertos
• SSL
• certificados y open SSL
• detección de intrusiones
• scanners y sniffers

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
(Ah me olvide de decirte, trae también un modulo sobre programación en python y tips de seguridad en la programación.... Podes salteartelo o no, como quieras)

---

Lectura 8: ¿Que es una VPN?
Para que sirve ? como funciona ?
Bueno, acá están las respuestas a esas preguntas y mucho mas
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Personalmente, como una VPN gratis utilizo ProtonVPN, de los mismos creadores que Protonmail. Es algo muy fácil de configurar y en la misma pagina con los links de descarga están los paso a paso para que la tengas siempre al alcance de la mano


Bueno y para terminar, ya que estamos empezando desde lo básico, te dejo material por si recién te estas iniciando en Linux, acá vas a encontrar respuesta a todas tus preguntas desde el inicio, como instalarlo, que distribución elegir, comandos, usuarios, sistemas de paquetes, grub, partición de disco, etc
Personalmente, después de haber probado varias distribuciones, y dejando fuera las distros especificas para hacking, me decidí a usar Debian 9 con desktop Cinnamon, aun asi, es tu decisión que SO es el que te gusta mas !

Manual de Linux (este es el que habla sobre que distro elegir)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Linux Basico
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Manual Basico de Linux (Este trae ejercicios !)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por si elegiste Ubuntu, acá tenes un manual
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

---

Espero que les sea de ayuda todo, vamos de a poco que tampoco hace falta saber todo si o si, esto es lo básico para que puedas tener un mínimo conocimiento, que puedas usar cómodamente linux, y ahora si podamos pasar en el siguiente post a enseñar alguna técnica de hacking (Todavía tengo que decidir sobre que hacer dicho post, si tenes alguna recomendación decímela! )

Saludos Underc0ders !!

Saludos Underc0ders !



Como bien el titulo lo dice, les dejo a continuación una lista con mas de 40 sitios donde poder practicar nuestras habilidades de manera legal.
A veces pasa que queremos aprender una tecnica nueva y no sabemos bien si estamos haciendo algo mal nosotros, la pagina no era vulnerable a la tecnica que estamos tratando de realizar, o simplemente queremos establecer nuestro propio laboratorio de pruebas.
Sea cual sea su situación, seguramente esta lista te ayude a mejorar tu nivel sea cual sea la tecnica o ataque que estes queriendo realizar (Web apps, iOS, Android, XSS, SQLi, reversing, etc).
Despues de esta bella, breve, pero no por eso menos importante introducción, LA LISTA !

bWAPP
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Damn Vulnerable iOS App (DVIA)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google Gruyere
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

HackThis!!
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hack this site
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hellbound hackers
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MacAfee HacMe sites
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mutillidae
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OverTheWire
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Peruggia
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Root Me
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Try2Hack
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vicnum
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

WebGoat
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Juice Shop
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hackdemic
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SlaveHack
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hackxor
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Boggelt
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Moth
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

EnigmaGroup
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OWASP Bricks
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Damn Vulnerable Web Application (DVWA)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ExploitMe Mobile Android Labs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

XSS game area
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

W3Challs
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

The ButterFly Security Project
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Damn Vulnerable Web Services DVWS (PHP)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OWASP Insecure Web App Project
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Acunetix (Forum ASP)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Acunetix (Blog .NET)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Acunetix (Art shopping PHP)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cenzic CrackMeBank
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

HP/SpiDynamics Free Bank Online
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

IBM/Watchfire AltoroMutual
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Badstore
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

RingZer0 Team Online CTF
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hacking-lab
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

 
Espero que les sea de ayuda !
Bartz.-

Hola gente !

En este post explicare que son y como funcionan los ataques de Denegación de Servicio (DOS y DDOS).
Me gustaria que si tienen alguna mejora o notan algun error lo dijeran en los comentarios y asi poder mejorar el post 

---

---

Es un ataque que causa que un servicio sea inaccesible a los usuarios para los que esta implementado.

Este ataque provoca la perdida de conectividad por el consumo de ancho de banda o sobrecargando los recursos del sistema mediante una determinada cantidad de solicitudes al mismo.

Cuando uno escribe la URL de un sitio, se esta enviando un pedido de conexión al servidor para ver la pagina. El servidor puede procesar un determinado numero de solicitudes al mismo tiempo. Si un atacante sobrecarga el servidor con solicitudes, no puede procesar la nuestra, por eso es que se llama "denegación de servicio", porque un usuario legitimo no puede acceder al sitio.

Una variante de este es el ataque "Distributed Denial of Service" (DDoS), en cambio al ataque DoS donde el atacante es solo uno, en este los ataques o solicitudes de conexión se originan desde muchos nodos (Ej desde una 'botnet') haciendo imposible frenarlo mediante banear a un solo solicitante, de ahi la palabra 'distribuido' del nombre.
Hace poco se vio lo que dice haber sido el ataque DDOS mas grande de la historia alcanzando 1.35Tbps los cuales fueron enviados a través de 126.9 millones de paquetes por segundo.
Aquí la noticia en genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hoy en dia las botnets llegan a ser inmensas, estas se consiguen infectando terminales vulnerables con determinado tipo de malware, utilizando diversas tecnicas desde el "phishing" o por ejemplo codigo malicioso JS al visitar algun sitio web.
Ejemplo del trafico que puede generar una botnet:
"3000 hosts * 128 KiB/s (upstream) = 384000 KiB/s = 375,00 MiB/s"

El crecimiento de estas se ve incrementado el ultimo tiempo gracias a la gran cantidad de dispositivos (Ej. moviles vulnerables) y ademas por el constante incremento del IoT (internet of things) en el cual la seguridad de los dispositivos claramente no es prioridad para los desarrolladores ni una cuestion de interes para los usuarios.


Ejemplo de ataque DDOS mediante una BOTNET

---

---

IP FLOODING

Consiste en la generación de tráfico con el objetivo de conseguir la degradación del servicio de red. De esta forma, el atacante consigue un gran consumo del ancho de banda disponible ralentizando las comunicaciones existentes en toda la red.
Se da principalmente en redes locales dónde el control de acceso al medio es nulo y cualquier máquina puede enviar/recibir sin ningún tipo de limitación en el ancho de banda consumido



BROADCAST

En este tipo de ataque se utiliza la dirección de identificación de la red IP (broadcast address) como dirección de destino del paquete IP. De esta forma, el router se ve obligado a enviar el paquete a todos los ordenadores pertenecientes a la red, consumiendo ancho de banda y degradando el rendimiento del servicio.


SMURF

Este tipo de ataque se basa en falsear las direcciones de origen y destino de una petición ICMP de ECHO (ping)
Como dirección de origen colocamos la dirección IP de la máquina que va a ser atacada. En el campo de la dirección de destino situamos la dirección broadcast de la red local o red que utilizaremos como atacante para colapsar al sistema elegido (incluso se utilizan direcciones propias del ISP)

---

---

Caso de un DoS "Ping of Death"
Se trata de un ataque muy basico pero se logra entender el concepto.


En este caso se utiliza el ping como metodo de ataque, enviandolo repetidas veces

Hacemos ping a la web deseada para saber el IP de la misma y luego con el comando "-t" lo podemos enviar de forma repetida y con el comando "-l" se elije el peso del paquete en cuestion



Ya teniendo la IP de la victima procedemos a escribir el comando que en este caso seria  "ping 173.194.41.223 -t -l 15000"  como se muestra a continuacion



En el caso de que el ping nos de una respuesta con un mensaje "Tiempo de espera agotado" significa que la cantidad de bytes es muy alta, se debe regular hasta saber la capacidad maxima soportada por ping.
Para que el ataque resulte exitoso nuestro ancho de banda debera ser mayor que el de la victima para poder enviar mas paquetes de los que puede responder.


SYN Flood Attack

Este tipo de ataque consiste en el envio de paquetes manipulados a la maquina objetivo, en el protocolo TCP/IP las banderas (flags) tienen diferentes funciones como marcar el inicio y final de una conexion, SYN, SYN-ACK, ACK, en este ultimo esla clave de este ataque o tecnica.

El SYN flood procede activando el SYN en la conexion TCP y alterando la IP objetivo (spoofing), la victima responde con un SYN/ACK considerando que se trata de una conexion legitima y espera po un ACK por parte del cliente.

El objetivo seria que este ultimo ACK nunca llegue logrando que la secuencia no se complete y asi ocasionar que la maquina objetivo se sature de conexiones sin dejar lugar a conexiones legitimas.


Eleji esta tecnica porque es la mas utilizada por el grupo hacktivista "Anonymous" y la aplican mediante sus dos conocidas herramientas llamadas "LOIC" (Low orbit ion cannon) y HOIC (High orbit ion cannon).
Estas pueden ser manejadas por el usuario directamente o utilizando un canal de IRC en un ataque distribuido enviando por ese medio ordenes a los demas puntos de ataque.

A continuacion sigo exponiendo este ataque mediante la herramienta HPING3, una herramienta de pruebas a reglas de firewall, stress testing, manipulacion de paquetes, etc.



En la herramienta se pueden saber todas las opciones utilizando el comando  "hping3 -h"
En este caso se utilizaran los siguientes parametros desde cada una de las maquinas atacantes:

-S         setea el flag SYN
–flood   Envia paquetes lo mas rápido posible. No se muestran respuestas.
–rand-source Simula diferentes orígenes aleatoriamente al enviar los paquetes.
-d    Establece el tamaño del cuerpo del paquete (expresado en bytes). Este valor puede variar.
-p     Indica el puerto de destino

Es necesario contar con privilegios de superusuario para poder utilizar el comando "SUDO"

Teniendo en cuenta que el target es 192.168.1.109, que se utiliza el flag SYN y que se hara de tipo "flooding" con cada request y al puerto HTTP el comando quedaria de la siguiente manera

 sudo hping3 -S 192.168.1.109 --flood --rand-source -d 5000 -p 80 

 

Se podrian utilizar diferentes valores pero con estos parametros es suficiente para lanzar un DDOS contra el puerto HTTP de la victima desde todas las maquinas simultaneamente

Al analizar el trafico en la maquina objetivo se veria algo asi:



El sitio se volvio inaccesible por la cantidad de requests que tiene que procesar el servidor


El ataque puede durar unos pocos minutos asi como el tiempo que uno desee.
En este caso el ataque se dio en un entorno de prueba dejando de lado intermediarios que podrian llegar a ayudar a tener una defensa, routers, proxies, firewalls, hardware/software dedicado a la defensa contra este ataque, etc.

---

---

No es tarea fácil mitigar este tipo de ataques, en cuanto a los  ataques  DOS/DDOS  indirectos, que son en los que se falsea la dirección  de origen,  pueden  solucionarse mediante técnicas de filtrado de entrada y salida.
En cambio los ataques directos siguen siendo inevitables debido a que no se los puede distinguir del trafico normal de la red.

Actualmente la detección de estos ataques esta bastante desarrollada principalmente por los sistemas de detección de intrusos (IDS) para los cuales existen tipos de filtros específicos, lo cual brinda una ayuda destacable pero no suficiente.
Organismos como CISCO recomiendan soluciones sencillas como modificar el tamaño de la pila de TCP o disminuir el tiempo de espera de establecimiento de las conexiones e incluso han desarrollado hardware especifico para la tarea de prevención de este tipo de ataques.

Algunas consideraciones a tener en cuenta por ejemplo seria limitar las conexiones entrantes, por ejemplo si una empresa solo hace negocios en argentina, permitir solo conexiones entrantes desde dicho país, es decir que si alguien intenta conectarse desde china, europa, EEUU, etc. las peticiones de conexión sean rechazadas.

En una empresa hay que tener contemplado el costo de estar offline determinada cantidad de tiempo e incluir este tipo de ataques y el costo que esto indica dentro de la política de recuperación de desastres.
Existen empresas que se dedican a la defensa contra ataques DDOS que llegan a ofrecer lo que se le dice "ingestión de trafico" que se consigue  redirigiendo el trafico por sus servidores, analizándolo y solo dejando pasar lo que parezca legitimo.

Asimismo existen soluciones como scripts que si detectan mas de "x" conexiones de cierta IP la banea automáticamente.
Al aplicar este tipo de medidas hay que tener muy en cuenta los falsos positivos ya que no queremos banear la ip de nuestros usuarios, por lo que debemos conocer y estudiar nuestro trafico habitual.

Podemos decir que nadie esta a salvo de este tipos de ataques por lo tanto lo mejor que se puede hacer es prevenir, analizar el trafico buscando irregularidades y en el peor de los casos estar preparados para responder antes de que sea "demasiado tarde"

---

Espero haya sido claro y les sea de ayuda !
Saludos !

Excelente !!! Se ve muuuy util !

Pregunta, se puede en vez de que los numeros sean solo '123' sean del 0 al 9 y tambien caracteres especiales ? Para lograr una salida mas variada aunque se haga mucho mas larga la lista

Gracias por postear estos retos !!
Logre hacer este que es MUY facil pero sigo luchando con el nuevo que solo es "facil" jaja 

Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Gracias por tomarse el tiempo en leer el extenso post.

Gracias a vos por tomarte el tiempo de compartir un post tan detallado para que cualquiera pueda usarlo !

Llevo usando protonVPN un tiempo ya y no tengo nada malo que decir.

Saludos !

Tambien se puede cambiar la configuración del DNS editando el archivo /etc/resolv.conf

sudo nano /etc/resolv.conf

Cambiamos las direcciones al lado de donde dice "nameserver" y listo
En mi caso cuando lo hacia de la configuración parecia no tener efecto, cuando entre a ese archivo vi que si habia cambiado el dns, pero lo habia puesto 3ro y por eso no lo usaba

Ni idea como hacerlo, pero me imagine a la victima con cara de WTF y tenia que postear que si me rei un poco 

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Eso suena a mensaje de la dimension desconocida...!!



Pero eso que planteas hace mucho se soluciono con SSL....

Aunque es una respuesta cierta, es tambien incompleta, como usaste el protocolo para poder comunicarte y salir de donde te habian encerrado ??
No me lo tomes a mal, es que yo aunque sabia que es el SSL no hubiera sabido utilizar en esa situacion 


¿Que es SSL?
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

@You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login Me gusto esto de imaginarse una situacion y explicar la solucion, Sigue posteando este tipo de entradas !