sábado, 11 de abril de 2009

Saltarse el "tenes que estar registrado para..."

Hay páginas que ofrecen recursos (imágenes, libros en pdf, etc) gratis, pero para descargarlos piden que te registres. Por ejemplo planetrenders quiero bajarme este render. Pueden ver la imágen chica pero para bajarla en tamaño completo te piden que te registres.
La url de la vista previa es esta: http://planetrenders.net/renders/albums/userpics/24332/normal_papillon%20copie.png

Simplemente le borramos el "normal_" y la tenemos del tamaño original: http://planetrenders.net/renders/albums/userpics/24332/papillon%20copie.png

Funciona en todos.

En otra webs, al querer bajar algo nos lleva a una web asi: http://example.com/register.php?url=http://example.com/downloads/nombre-de-un-archivo.rar

Esto es para que nos registremos y despues nos redirija a http://example.com/downloads/nombre-de-un-archivo.rar
En muchos casos, al abrir esa url ya descargamos el archivo. También puede ser que se pase por post, hay que mirar las cabeceras http.
5 0verl0ad Labs: Saltarse el "tenes que estar registrado para..." Hay páginas que ofrecen recursos (imágenes, libros en pdf, etc) gratis, pero para descargarlos piden que te registres. Por ejemplo planetren...

5 comentarios:

martin jr dijo...

ja ja, quien nunca lo ha hecho.
hay veces que no te dejan copiar las imágenes(te aparece una prohibición por el copyright y mas cosas) entonces desactivas el javascript un segundo y entonces lo podes copiar.

The X-C3LL dijo...

Séh, sobre lo de las imágenes... es muy gracioso cuando ponen un JS para inhabilitar el botón derecho y te suelta un "Robar está mal", "No vayas de listillo", etc.

Julio Jaime dijo...

Seguridad por oscuridad, que poca imaginacion que tienen no ?

>> s E t H << dijo...

ya que lo mencionas jaime, recomiendo leer esto http://technet.microsoft.com/es-es/magazine/2008.06.obscurity.aspx

The X-C3LL dijo...

La verdad que sobre seguridad por oscuridad poco había leido, y tras leer el artículo que ha linkeado >>Seth<< mi opinión al respecto no ha variado nada...

A mi humilde parecer, introducir alguna ofuscación en ciertos ámbitos puede ser algo bastante efectivo, pero como medida paliativa de menor grado (es decir, antes de adoptar estas políticas, lo correcto sería poner todos los medios posibles antes: IDS, Firewalls, software actualizado, etc...). Pero hago especial inciso en lo de algunos. A título de ilustrar un poco en qué escenarios sí puede ser de cierta utilidad y en cual no voy a proponer dos ejemplos...

1.- Una corporación que usa sistemas estandarizados, donde todo viene por defecto. Si nuestra política de seguridad es demasiado débil (por lo que sea) y practicamos "seguridad por oscuridad", lo más probable es que tengamos por una parte una falsa seguridad, y por otra posibles problemas internos a la larga.


2.- Ídem escenario, pero esta vez aplicamos la seguridad por oscuridad a una DB donde colocamos nombres de tablas y columnas extrañas. La verdad que en caso de que se nos escapara una variable sin aplicarle un filtro, es bastante más dificil poder sufrir un ataque por gran parte de los posibles atacantes, ya que desistirán.

Aunque esto también se convierte una dificultad a la hora de realizar modificaciones e interacciones con la DB, ya que en es muy complicado trabajar con tablas sin sentido, que al ver sus nombres no nos arrojan ninguna información de su contenido...

< >