muertet
Usuario (España)
Índice del review: 1. Inicio 2. Mis Series y Mis Pelis 3. Puntos 4. Invitaciones 5. Puntos 6. Versión móvil y otros dispositivos 7. Máxima participación 8. Links Series.ly es una nueva red social de caracter privado, eso quiere decir que sólo puedes acceder mediante invitación. Una vez logueados, lo que podemos ver es el TOP de series más vistas por día y semana. Uno de las características que está haciendo triunfar a esta red, es el hecho de que permite a los usuarios evitar el límite de 72 minutos impuesto por megavideo, permitiendo así, que vean tanto series como películas sin limitación alguna. Dentro de cada serie nos encontramos con un ficha muy completa y agradable visualmente. La primera opción que hay, es la de seguir la serie. Pulsando sobre ese botón, lo que hacemos es que se nos añada a la página de "Mis series", de modo que tengamos un acceso más rápido, pues también nos aparecerá en el lateral derecho de la página. En las fichas hay siempre un link hacia el gigante IMDB para obtener más información acerca de la serie en cuestión. Debajo del mismo, tenemos un listado de cada temporada junto a los nombres de los capítulos que contiene cada una. Cuando hacemos clic en uno de los capítulos aparece un listado de enlaces hacia megavideo en los cuales se indica el audio, subítulos y calidad del mismo. Al cliquear en uno de ellos el sistema automáticamente marca el capítulo como visto, para que la próxima vez puedas seguir desde donde lo dejaste. Después de este listado hay dos botones, el primero de todos nos permite añadir un enlace al capítulo y el segundo, reportar un error en alguno de los enlaces del capítulo (por si los subtítulos son incorrectos o el enlaces está muerto.) 2. Mis Series y Mis Pelis Si nos dirigimos al aparto de "Mis Series", se nos muestra aquellas que hemos marcado como seguir. En cada una de las series veemos la cantidad de capítulos que hemos visto tanto en cantidad como en porcentaje, respeto al total así como también la cantida de capítulos y temporadas que tiene la serie en questión. Además nos ofrece la posibilidad de mover la serie a otra de las tres pestañas que hay disponibles. Podemos: -Moverla a la pestaña de anotada, por si aún no queremos verla -Moverla a la pestaña de vista, por si nos hemos cansado de ella o ya la hemos vista al completo. -Moverla a la pestaña de siguiendo, por si pasamos a verla (por definición es donde van aquellas que añadimos). Como se puede apreciar en la parte inferior de la imagen, Series.ly te empieza a recomendar series automáticamente una vez tengas añadidas en "Mis series" como mínimo 3. Esta opción es perfecta si has acabado de verlas todas y necesitas engancharte a una nueva. Lo mejor de todo es que recientemente se ha añadido un apartado muy completo de películas, la cuales podemos gestionar de la misma forma que las series, pero con una interfaz distinta. Para marcar nuestras favoritas (una vez hemos marcado en su ficha "Añadir a mis pelis" sólo debemos presionar en la estrellita que hay al lado derecho del título. 3. Puntos Si os habéis fijado, en el lateral derecho, bajo nuestro nick, se nos informa de la cantidad de puntos que tenemos. Esos puntos se ganan añadiendo enlaces a nuestras series o pelis favoritas así como reportando errores en las mismas. Los puntos nos permiten ascender de rango en la página. En estos momentos sólo hay el rango de usuario y el de Operador, este último desbloquea la posibilidad de gestionar los reportes que envían los usuarios tanto de películas como de series en un panel bastante logrado. 4. Invitaciones Nada más registrarte el sistema te da 10 invitaciones para que puedas mandárselas a tus amigos. De ese modo se logra crear una cadena en la que cada nuevo usuario entra conociendo a alguien dentro de la red, persona que posiblemente tenga ya agregada otros amigos en común. Así que el nuevo usuario sólo deberá ir hacia el perfil del invitador (que es añadido automáticamente como seguidor), para ver otros usuarios que posiblemente conozca. Aquellos usuarios que gastan las 10 invitaciones suelen recibir una recarga pasado cierto tiempo, este tiempo depende de la cantidad de usuarios total que se haya quedado sin invitaciones. 5. Perfil En el perfil de cada usuario podremos encontrar un mapa que indica el lugar donde le gustaría estar o donde se ecuentra, la gente a la que sigue, los que le siguen a él y las series que está siguiendo. 6. Versión móvil y otros dispositivos Enlace: Está claro que no siempre tenemos porque ver las series en el pc. Por ello series.ly ofrece la posibilidad de ver las series que estás siguiendo desde cualquier móvil Android (gracias a un usuario), mediante una aplicación disponible en el Android Market. Desgraciadamente la versión actual está muy verde pues no permite por ejemplo buscar nuevas series para añadirlas a la lista, ni tampoco dejar de seguir series. Pero sí podemos ver los capítulos y también se marcan automáticamente como vistos. Se está intentando crear un canal para tvalacarta de XBMC por parte de jesus, el creador del plugin. También una versión para PSP por parte de un usuario de la red y para iPhone también por parte de un usuario. 7. Máxima participación Para terminal el review hay que decir que esta red social busca por todos lados la colaboración y sus visitantes, tienen usuario en Facebook y Twitter para tratar de responder a todas las dudas y también anunciar las novedades, así como hacen caso a sus sugerencias mediante seriesly.uservoice.com, donde las más votadas se hacen realidad. 8. Links - Web - Grupo en Facebook - Twitter
Cómo logré mi segundo trabajo Desde hace un tiempo que inspirado por el relato del usuario @nanopene tenía en mente redactar alguna que otra cosilla. -LA BIENVENIDA Una de las cosas que más perseguía antes en internet eran esas páginas web conocidas como "Pay To" (pt) que pagaban a sus usuarios por hacer cosas como visualizar publicidad durante un determinado tiempo, leer mails de propaganda, etc... Un día como otro cualquiera, mientras navegaba en un foro inglés de esa temática encontré algo que no había visto nunca antes. Una web que te pagaba por chatear! Me parecía algo imposible, de qué forma sacarían beneficios sus propietarios? Sin dudarlo me registré bajo un nick que usaba para pruebas con pass 123456. Mi intención no era precisamente la de participar siguiendo las reglas. En cuanto ví el chat, lo comprendí. En ambos laterales había banners de publicidad, que pasados varios minutos se actualizaban de forma automática a fin de generar otra impresión. El chat servía como entretenimiento para mantener a los usuarios en la web el máximo de tiempo posible. Además de vez en cuando también aparecía publicidad entre las líneas que se escribían. Por cada línea se pagaba 0,001$ y tenías la posibilidad de cobrar más por líneas al upgradear el rango, hecho que como no, costaba dinero. Para rematar la jugada el sistema contaba con referidos, de los cuales trambién podías comprar distintos paquetes. Pasado un mes chateando (que porcierto sólo se podía en inglés.) a duras penas llegué al 1$ mínimo necesario para cobrar. Cansado de ello y de los innumerables sueños que de noche me perseguían, mostrándome cifras que podría ganar con un buen número de referidos, me dispuse a planear cómo acceder a la db. -EL RECONOCIMIENTO Un análisis visual mostraba que el diseño de la página en comparación al chat era imposible que fuera obra de la misma persona. Uno no hace una maravilla integrada con jquery y ajax y luego termina la página con media tonelada de animaciones flash que ni vienen a cuenta como copos de nieve y altavoces tamaño gigantesco así como un bonito arcoiris de colores en el texto y menús de introducción. Así que empezé a buscar evidencias del sistema que usaba con tal de encontrar su nombre, y posiblemente código fuente del script. Gracias a Dios uno de los archivos que cargaba los mensajes tenía un nombre demasiado raro, "blab". Con la ayuda del señor Google encontré y descargué "Blab 5" que por desgracia no contenía vulnerabilidades a excepción de que las plantillas acababan en .html y que por tanto se podían visualizar los cambios realizados por el usuario desde el propio navegador. Y tachán! Una de ellas (que repito era .html) tenía en su código fuente una llamda a la db la cual incluía los datos de loggeo. -Señores! Tenemos las llaves! Falta la puerta! Esta vez no había redirección alguna hacia mysqladmin. -He llegado hasta aquí para encontrarme con esto? Ni hablar. Mediante un who.is conocí las DNS así que ya sabía quién alojaba la web. Un poco de dorking en google me llevó hacia el login mysqladmin de todos los clientes del host y probé suerte. -EL ACCESO -Vía libre! Ahora falta estructurar el sistema! Esa noche no pude dormir, no paraba de pensar cómo aprovechar esa vulnerabilidad, no sentía compasión por alguien quién se había demorado 1 semana en pagarme un mísero dólar. Las opciones más directas fueron las de crear una falsa red de referidos, la de vender referidos en el foro inglés que me había llevado hasta tan magnífica web o incluso vender la vulnerabilidad en el mercado negro. A la mañana siguiente empezé con la primera opción, al conocer el script sabía que había un panel de administración. Allí ví que se revisaba manualmente las líneas que escribían los usuarios y también que se marcaba la realización de pagos. -Mira tu por donde, puedo autopagarme? El ver que era algo tan sencillo como un botón me hizo dudar. -Me redireccionará a PayPal para introducir los datos de login? Necesitaba ver ese php por dentro. Probé los mismos datos en el ftp que la db pero no. Fuí a la tabla que contenía los usuarios y busqué por los nicks de aquellos que durante mi mes de usuario pasivo habían expulsado gente del chat ante mis ojos. Todas las contraseñas se encriptaban con MD5 añadiendo antes una variable modificable por el usuario, eso me impedía revisar sus contraseñas. Dado que la única contraseña que tenía (db) era muy simple (ni tenía números) me pareció obvio que era la de uno de sus admins. Uno por uno fuí tratando de entrar en sus correos (gracias a la db usuarios los tenía) hasta que dí con un Yahoo. En él se conservaba el mail de bienvenida donde se incluía la pass. Tras probarla en el FTP con el nombre de la web como user... ¡Gualá! Ya tenía bajo mi control el FTP y la DB. Descargué el admin.php que me mostró que el botón sólo hacia un UPDATE en la propia db para mostrar en las stats personales del usuario, que este había recibido el pago. -Opción espontánea descartada jefe! Volviendo a mi primera opción, el único problema que le veía era que esa red debía tener mensajes para pasar el control. Revisando el script, cuando se expulsaba a un usuario se le borraba su entrada en la tabla de usuarios, pero no sus mensajes. Así que programé un simple script que revisaba la existencia de la id del usuario y en caso contrario anotaba la id del mensaje en un .txt en el propio host. Como premio a mi mismo, borré a un usuario que esperaba cobrar, moví sus mensajes y me añadí 2$ a mi cuenta. Dándole vueltas al tema, llegué a la estúpida conclusión de que si habían sido baneados, era por algún motivo relacionado con sus mensajes. Por lo pronto paré la creación de la red. En su lugar invité a unas cuantas personas a las que dí bonos de 0,5$ por participar en el chat (como refers míos claro.). Viendo la pasmosa velocidad a la que generaba dinero, digamos.. años luz y pese a que renombré el id_referido de usuarios muy participativos para poner mi id, decidí descartar la opción de la red. Para disimular yo seguía charlando de vez en cuando y normalmente paseaba por las distintas salas de chat, en busca de admins para controlarlos. Fué entonces cuando me entró cierta paranoia al observar como en una de las salas abandonadas, había dos admins hablando de un extraño incremento de solicitudes de pagos por parte de usuarios jóvenes. Rápidamente edité la fecha de registro de parte de mi red y alejé a los otros de ser mis referidos. Las consecuencias no se hicieron esperar. Pasados unos días TODOS los que había alejado habían sido borrados del sistema. Temía porque sospecharan de un acceso ilícito así que me encargué de acceder a las cuentas de correo personales y profesionales. Para conocer lo que ellos conocían: NADA. Continuación: Durante un mes estuve controlando todos los movimientos que hacían, cambios de plataformas (les expulsaban a menudo pues incitaban a cliquear), envío de cvs (lol), etc.. -EL SUSTO Finalmente decidí contactar con uno de los administradores para informarle de la vulnerabilidad encontrada y lo que había hecho. Creé otra cuenta Yahoo y agregué al chat la que había podido acceder. Cuando se conectó y le relaté todo, sólo se le ocurrió mandarme un enlace de un periódico rumano en el que hablaban del robo en España de dos sucursales de distintos bancos. Me dijo que mirase el nombre del detenido, era el suyo. Después de una larga hora de amenazas con romperme las piernas y habla ofensiva (por su parte, yo tan campante, insultar a alguien que en ese mismo instante sabes que sigue teniendo acceso a algo que no has hecho backup no es muy inteligente. Tampoco digo que lo que yo hiciera fuera correcto) el individuo se calmó y procedió a borrar la web entera para arreglar los errores. Lo que al parecer no había entendido era que yo tenía acceso mediante los datos de usuario y no una shell, por lo que seguía teniendo control. Cuando el chat se restituyó, mi usuario había sido borrado. Eso no me gustó. Me volví a crear la cuenta manteniendo el mismo nick y me puse en contacto esta vez por el chat de la propia web. En privado le comenté que seguía teniendo acceso, que debía cambiar los datos pero él no se lo creía. Le reté a que me pusiera a prueba pero esta vez si borraba mi usuario yo borraría el suyo. De ese modo sólo editó mi balance a 0$ a lo que yo lo edité a 5$. En ese momento me hizo caso. Poco a poco pude ver como iba perdiendo acceso a las distintas partes, adiós a los correos, al ftp, a la db... -EL TRABAJO Tras unos días, el mismo correo Yahoo me mandó un mensaje que tal vez podríamos llegar a un acuerdo, yo entraría como Programador y Community Manager a cambio de un pequeño sueldo. En menos de un mes incorporé nuevas características que hicieron las delicias de la administración, como comandos en el chat, restricción de colores (los únicos con letra roja eran el staff), etc.. Además analizaba todo lo que él subía en búsqueda de XSS, SQLi o lo que fuera. -CONCLUSIONES -Siempre que encontréis una vulnerabilidad, reportadla a menos que sea una gran corporación (en este caso es mejor no hacer nada pues aún acabarás mal), la mayoría de los webmasters lo agradecerán. -En ningún momento apoyo el defacing (algo que nunca he hecho y considero inaceptable) y no recomiendo a nadie aprovecharse de las vulnerabilidades que encuentre por muy beneficiosas que puedan ser. -Pese a que lo volvería a hacer pues el final depende de cada uno, lo que hice no está bien y puede ser penado por ley aunque en ese caso ellos habrían ido antes pues los sistemas piramidales no son bien vistos digamos... Y la política de borrar a 1/3 de los que piden cobrar sin motivo (no pagar) tampoco.
El GuardaPosts!Script para no perder posts¿Cuantas veces te has quedado con un post a medias o lo has ido preparando mientras se subían los archivos y por culpa de llegar tarde algún sitio lo has perdido?Os presento este sencillo userscript que he preparado para que podáis guardar los posts a medio terminar desde la propia Taringa!.Añadirá en el menú de taringa una nueva pestaña llamada Guardado. En ella os encontraréis con un campo de texto donde podréis pegar vuestros posts y más abajo un botón para guardarlo. De esta manera, a la mañana siguiente por ejemplo, con sólo ir a esta pestaña tendréis todo el post listo para continuar siendo moldeado.El post se guardará en vuestro ordenador, dentro de una variable del firefox. Descargar GuardaPosts Requisitos para usar el script:-Firefox- (URL a tutorial útil de instalación).