Cuidado, este archivo: 

 

<?php

   include( $_GET['pagina'] );

?>

 

permite enviar la siguiente URL:

 

https://127.0.0.1/directorio/atras2.php?pagina=C:\xampp\apache\logs\access.log

 

con lo que cualquier pirata informático obtendrá información de mucho provecho. De por sí el tener la ruta "C:\xampp\" es una pésima idea, pero lamentablemente es algo muy frecuente.

 

Si en la aplicación hubiera una vulnerabilidad tipo "Directory Traversal" todo podría empeorar. 

 

La mejor forma de prevenir la inclusión local de archivos en evitando la inclusión dinámica de los mismos en base al input del usuario. Si eso no fuera posible es necesario hacer una lista blanca con los nombres de archivos que pueden ser incluidos. Damos un ejemplo:

 

<?php  

$paginas = array('rojo', 'azul', 'verde');  

if(isset($_GET['pagina']) and in_array($_GET['pagina'], $paginas)) {  

  include $paginas[array_search($_GET['pagina'], $paginas)] . '.php';  

} else  

  die('No se ha especificado la página a mostrar o no existe en el servidor');  

?>

 

Algunas de las otras sentencias y funciones vulnerables son: include(); include_once(); require(); require_once(); file() y file_get_contents(), aunque se podría agregar alguna más a la lista.

 

Artículo relacionado:

geoestrategia.webnode.es/news/vulnerabilidades-de-aplicaciones-web-la-inclusion-local-de-archivos/

 

 

 

Para nuestros lectores del hemisferio norte es invierno, pero estamos seguros que igual difrutarán del juego. Obviamente incrustar un nombre de usuario y el hash de la contraseña en "atras.php" son vulnerabilidades pero están ahí para facilitar el desarrollo del juego.

A la brevedad publicaremos la respuesta. Por si alguien no descubrió la de nuestro juego anterior, la vulnerabilidad era que al tipear la contraseña la misma aparecía como texto plano y no escondida con asteriscos.

 

El archivo adelante.html es:

 

<html>

<h1>Simplemente ingrese</h1>

<form action="atras.php" method="post">

    Usuario: <input type="text" name="usuario" value="">

    <input type="password" name="clave" value="">

    <input type="submit">

</form>

<!-- Cambiar primero acceso del tráfico invasivo previo luego desaparecerán los 1142 archivos excedentes alivianando las 102 sobrecargas semanales gastándose US$ 2454 menos cada mes ---- administrador -->

</html>

 

y atras.php es:

 

<?php

$usuario = $_POST['usuario'];

$clave = $_POST['clave'];

$hashed = hash('sha512', $clave);

if (($usuario == 'administrador') && ($hashed == 'edae7c872ed53a5071ced641fb146455b046be2eb7c99b6892f51f6d61e86ec11fec8aba3fad8b61ed57b1e52176fcfff556511fc341bedd4efe67e4879c4929')){

  header('Location: administrador.php');

}else{

  header('Location: adelante.html');

}

?>

 

y administrador.php

 

<html>

<h1>Pagina del administrador</h1>

<h3>Bienvenido</h3>

</html>

 

Este ejercicio tiene por finalidad entrenar al lector para prevenir y/o eliminar vulnerabilidades. El hackeo es ilegal, pruebe esto sólo en su propio servidor aunque para encontrar la respuesta no hace falta contar con uno. ¡Éxitos!

 

 

Respecto a las quejas que reciben los negocios tomemos en cuenta lo importante que es canalizarlas bien y responder a ellas de manera oportuna para que estas reclamaciones se conviertan en oportunidades.

 

Por lo tanto la capacitación que debe tener el personal que está a cargo de la atención al cliente es primordial. El tiempo que se invierte es una ganancia a largo plazo ya que se contará con personal preparado y dispuesto a atender en servicios.  Tomemos en cuenta lo siguiente:

 

- Capacitar en los productos y servicios que se ofrecen. La finalidad es que este personal tenga amplio conocimiento de lo que ofrece y todo lo que se realice con su tipo de venta.

 

- Capacitar e introducir al personal a la empresa, facilitándoles la misión, visión y valores que caracteriza a su empleador.

 

- Capacitar constantemente con talleres, charlas dinámicas, videos, para que puedan desarrollar técnicas de ventas,  todo esto de acuerdo al tipo de servicio  que ofrecen.  Como línea general hay normas de cortesía, buena actitud y eficiencia, pero no es lo mismo vender seguros que atender servicios de restaurantes.

 

La fidelidad de los clientes es un beneficio para que prospere un negocio y los gastos en capacitaciones se convierten en inversión.

 

Artículos relacionados:

geoestrategia.webnode.es/news/la-empresa-el-uso-de-telefonos-celulares-provistos-por-la-misma/

geoestrategia.webnode.es/news/la-empresa-la-importancia-de-los-documentos-formales/

geoestrategia.webnode.es/news/la-empresa-hablando-se-entiende-la-gente/

geoestrategia.webnode.es/news/la-empresa-para-ser-un-buen-lider-hay-que-saber-escuchar/

geoestrategia.webnode.es/news/la-empresa-las-quejas-de-los-clientes-son-una-oportunidad-de-mejorar/

 

 

Después que los seis destructores Type 45 de la Royal Navy pasaran el fin de año en la base de Portsmouth por razones técnicas, de descanso y de alistamiento, ayer el HMS Duncan llegó al Puerto de Málaga, en el Mediterráneo occidental, donde permanecerá una semana. El Duncan asumió el rol de buque insignia de la Agrupación Naval Permanente 2 (SNMG2, por sus siglas en inglés) de la Organización del Tratado del Atlántico Norte.

 

El buque llevará a cabo actividades defensivas junto a otras naves de países miembros de la OTAN y liderará el mencionado Grupo de Tareas SNMG2 en una serie de ejercicios de alto perfil. Al completar esta asignación el Duncan navegará hacia el Golfo Pérsico para demostrar el compromiso permanente del Reino Unido con la región.

 

Recordemos que en diciembre del 2016 el destructor HMS Duncan debió ser remolcado a puerto tras sufrir un desperfecto durante un ejercicio efectuado con otros tres buques de la OTAN. Se especula que ese incidente se debió a un fallo del sistema de propulsión a los que son tan propensos los destructores de la Clase Daring o Tipo 45. El buque  volvió a puerto remolcado y allí fue rodeado por tres remolcadores más, así como por escolta armada. 

 

También debemos recordar que el último destructor tipo 45 que se desplegó en el Golfo fue el HMS Diamond. En noviembre del año pasado la nave debió abandonar esa misión que debió durar nueve meses a sólo dos de haber permanecido en la región. El despliegue del Duncan podría ser una oportunidad de ver si se encontró alguna solución, al menos parcial, al problema o si el mismo persiste en toda su gravedad.

 

Artículos relacionados:

geoestrategia.webnode.es/news/el-destructor-tipo-45-hms-duncan-de-la-royal-navy-debio-ser-remolcado-a-puerto-tras-sufrir-un-desperfecto/

geoestrategia.webnode.es/news/cobra-fuerza-la-version-de-que-el-incidente-del-hms-dunacan-fue-una-nueva-falla-de-propulsion/

geoestrategia.webnode.es/news/el-destructor-hms-diamond-debio-abandonar-una-mision-en-el-golfo-persico-por-problemas-de-propulsion/

 

 

Como es habitual, graficaremos la vulnerabilidad con un ejemplo bien simple:

 

El archivo "adelante.html" es el siguiente:

 

<html>

<form action="atras.php" method="get">

   <select name="idioma">

      <option value="castellano">Castellano</option>

      <option value="quechua">Quechua</option>

   </select>

   <input type="submit">

</form>

</html>

 

y "atras.php"

 

<?php

   if ( isset( $_GET['idioma'] ) ) {

      include( $_GET['idioma'] . '.php' );

   }

?>

 

Obviamente en el mismo directorio que los dos archivos de arriba existen "castellano.php" y "quechua.php". Uno de los mismos será incluido cuando se seleccione una opción de idioma ya que en "atras.php" se estará reemplazando "idioma" por el valor seleccionado, por ejemplo:

 

include 'castellano.php';

 

ya que $_GET['idioma'] es reemplazado por "castellano" y el operador "." lo concatena con ".php".

 

Si en el mismo directorio que los otros cuatro archivos existiera uno llamado informacion.php con el siguiente contenido

 

<?php phpinfo() ?>

 

y en la barra de direcciones del navegador escribiéramos lo siguiente:

 

https://localhost/directorio/atras.php?idioma=informacion 

 

en "atras.php" include quedaría así:

 

include 'informacion.php';

 

Dado que la sentencia include incluye y evalúa el archivo especificado, "informacion.php" será ejecutado, dejando expuesta una gran cantidad de datos de sumo provecho para un pirata informático.

 

Por ahora dimos sólo un ejemplo muy simple de esta vulnerabilidad en la que próximamente profundizaremos y enseñaremos a prevenir.

 

Muy de tanto en tanto la vulnerabilidad aparece en la práctica:

 

<html>

<head>

<title>Práctica</title>

</head>

 

<body style="background-color:lightblue;">

<h1 style="color:blue;font-size:48px;">Descubra la vulnerabilidad</h1>

 

<pre>

Esta aplicación tiene una vulnerabilidad

      ¿Se atreve a descubrirla?

    No es nada difícil hallarla...

</pre><br>

 

<form action="cualquiera.php" method="post">

    Usuario: <input type="text" name="usuario" value="">

    Contraseña: <input type="text" name="contraseña" value="">

    <input type="submit">

</form>

<br>

 

<h4>¿Todavía no la encontró??</h4>

 

<h3 style="color:yellow;">Vamos, vamos, apúrese...

 

<h2 style="color:red;">... alguien podría estar espiando sobre el hombro ¡con excesiva facilidad !</h2>

 

<h3 style="color:green;">Si todavía está buscando simplemente copie el código, guárdelo como archivo .html, ábralo con su navegador de preferencia e ingrese un usuario y contraseña.</h3>

 

<h2 style="color:blue;">Como la respuesta está a la vista, la damos por publicada.<h2>

 

<h4>Si aún así está totalmente perdido puede escribirnos a nuestra dirección de contacto, le daremos la respuesta correcta.</h4> 

 

</body>

</html>

 

Dos aviones Typhoon de la RAF despegaron de urgencia hoy por la mañana desde la base escocesa de Lossiemouth en Moray, Escocia, después que dos bombarderos rusos Tupolev TU-160 Blackjack se acercaran a espacio aéreo del Reino Unido. Los cazas escoltaron a las aeronaves rusas lejos del Reino Unido apoyados por un avión de reabastecimiento aéreo Voyager. Ya antes los bombarderos rusos fueron monitoreados por cazas de otros países europeos.

 

Los Tupolev Tu-160 son bombarderos pesados supersónicos de geometría variable, desarrollado por Túpolev en la Unión Soviética. Fueron el último diseño soviético de un bombardero estratégico. Son aviones muy rápidos y de gran alcance. En total fueron construidos unos 35 Tupolev Tu-160 de los que continuarían activas unas 16 unidades en el 121 Regimiento de guardias de bombarderos pesados. Estas aeronaves poseen dos bodegas de armas con una capacidad de 40.000 kg y dos lanzadores rotativos con capacidad para distintos tipos de misiles, incluidos los nucleares de corto alcance AS-16 Kickback.

 

Recordamos que en vísperas de Navidad y en Navidad dos buques y un helicóptero británico fueron desplegados para monitorear diferentes naves rusas. Según los británicos el buque de protección pesquera Clase River HMS Tyne siguió a una nave de recolección de Inteligencia mientras la fragata tipo 23 (Type 23) HMS St Albans fue desplegada para vigilar de cerca a la fragata Admiral Gorshkov. Por su parte un helicóptero Wildcat despegó para rastrear a otras dos naves no armadas.

 

Por otra parte hace una semana la fragata Type 23 HMS Westminster escoltó a dos buques de guerra rusos a través del Canal de la Mancha. En ese momento los británicos también informaron de la presencia dos buques rusos de apoyo. Si bien a los ingleses les gusta exagerar la presencia de medios militares del país de Europa oriental cerca de su territorio, no caben dudas que vivir despachando naves y aeronaves a seguir a los mismos representa un costo y un desgaste.

 

A medida que los programadores previenen mejor las inyecciones de HTML, los hackers buscan lugares menos obvios donde inyectar código, por ejemplo entre las etiquetas <title></title> de la parte superior del archivo .html, delimitada por las etiquetas <head></head> .

 

Vemaos el siguiente ejemplo:

 

El archivo adelante.html es el siguiente:

 

<html><head></head>

<body>

<body>

   <form method="get" action="atras.php">

        Ingrese el término a buscar: <input type="text" name="buscar">

        <input type="submit" name="subir_btn" value="Enviar" />

   </form>

</body>

</html>

 

siendo atras.php

 

<html>

<head>

<title><?php echo $_GET['buscar']; ?></title>

</head>

<body>

Búsqueda: <?php echo strip_tags($_GET['buscar']); ?>

</body>

</html>

 

Veremos que si ingresamos un término en "adelante.html", el mismo se verá reflejado en el cuerpo de "atras.php" como también en su título. 

Si en la casilla de búsqueda "adelante.html" ingresamos los siguiente:

 

"</title></h1>Esto está siendo inyectado en el cuerpo del archivo</h1>", veremos que efectivamente aparecerá en el cuerpo del archivo. ¿Por qué? Al cerrar el título con la etiqueta </title> y al añadir <h1>texto</h1> estaremos incrustando código HTML malformado entre las etiquetas <head></head>. Entre las mismas sólo son aceptadas las siguientes etiquetas: <title>; <base>; <link>; <style>; <meta>; <script>: <noscript>; <command> y sus respectivas etiquetas de cierre. El navegador intentará subsanar la malformación de código imprimiendo todo en el cuerpo del mensaje, que es donde aparecerá la inyección HTML.

 

Hemos probado el ataque en tres navegadores diferentes y funcionó igual en todos. Claro que se podría inyectar código desde el título al cuerpo del mensaje incluso sin la característica del navegador mencionada pero quisimos resaltar la importancia de conocer todo el entorno de la aplicación web, no sólo la aplicación propiamente dicha.

 

El ataque se previene usando strip_tags() también en el título, no solo en el cuerpo del archivo.

 

En artículos muy recientes hemos escrito sobre el desatino que significababa para la defensa del Reino Unido de Gran Bretaña seguir avanzando con el programa de los submarinos SSBN Dreadnought, reemplazantes de la Clase Vanguard. También informábamos que los británicos no descartan emplear el segundo portaaviones Clase Queen Elizabeth como fuente de repuestos para su buque gemelo. De hecho en la Royal Navy la canibalización se volvió una práctica usual y creciente. Además se convirtió en una suerte de metáfora de la realidad de la Marina Real británica. Se quita de una lado para tapar agujeros en otro lado a un costo muy superior al que tendría el reemplazo con piezas surgidas de una producción para la Defensa planificada.

 

Los rumores de nuevos recortes en las fuerzas armadas británicas no son algo totalmente nuevo ni inesperado, pero los últimos que circulan alarman a los especialistas del Reino Unido. Al parecer existen diferentes proyectos para tapar el rojo fiscal del área de Defensa y los más drásticos estarían previendo una reducción temeraria del Ejército Británico. Algunos hablan de llevarlo a una cifra de apenas 50.000 efectivos. También prevén la reducción en el número de marinos e infantes de marina e incluso de miembros de la Real Fuerza Aérea. Se habla de fusión de Royal Marines con unidades de paracaidistas del ejército. Al parecer hasta nos quedamos cortos cuando informamos que la Royal Navy se desharía de hasta nueve buques. Buscando confirmar los rumores mencionados hemos logrado dar con declaraciones de parlamentarios británicos que permiten suponer que son ciertos.

 

En tiempos normales eso podría ser visto como un hecho positivo. La vieja Inglaterra colonialista (todavía tiene en su poder enclaves coloniales como el de Malvinas) estaría reduciendo sus fuerzas a un nivel de disuación creíble. El problema son la situación mundial y el tipo de reducción. Recortar indiscriminadamente fuerzas convencionales para concentrar el esfuerzo financiero en cuatro SSBN seguramente no significa una contribución a la paz mundial. Con Corea del Norte haciendo amenazas a diestra y siniestra, con el fortalecimiento chino tanto en lo económico como en lo militar, con Rusia mostrando su propia vieja garra imperialista, con el avance del terrorismo internacional (surgido muchas veces de grupos inicialmente finaciados por países occidentales), con el surgimiento de nuevas potencias militares como lo son, por ejemplo, India y Paquistán, lo que están haciendo los británicos oscila entre lo insensato, lo perverso y lo demencial. 

 

Artículos relacionados:

geoestrategia.webnode.es/news/el-programa-de-los-ssbn-britanicos-clase-dreadnought/

geoestrategia.webnode.es/news/los-britanicos-podrian-usar-el-portaaviones-hms-prince-of-wales-como-fuente-de-repuestos/

 

En algún momento todo negocio que brinda algún tipo de servicio o realiza ventas de productos, recibe quejas de manera verbal o escrita por parte de sus clientes, ya sea porque estos productos no llenaron sus expectativas o porque buscan mejores experiencias de atención.

 

Saber escuchar, analizar y manejar estas situaciones se convierte en oportunidades para las empresas, porque les hacen notar en qué están fallando y cómo pueden mejorar; asimismo, una solución inmediata y que agrade al cliente reafirma  y mejora su relación con la empresa.

 

Por otro lado también es bueno estar atento a estas quejas y reclamaciones, porque un cliente insatisfecho no sólo hace su queja de manera formal y escrita, sino que utiliza la tecnología  de manera masiva mediante la web y puede crear una mala reputación y afectando de manera directa al negocio.

 

La comunicación personalizada con estos clientes insatisfechos, ofreciendo disculpas y soluciones, nos permite medir y resolver el grado del problema.

 

Como dijimos anteriormente, estás quejas son oportunidades para corregir y mejorar, por lo tanto si se detectan y se aplican las medidas correctivas el negocio está en proceso de crecimiento. Además mejorar nos hace sentir que realmente estamos prestando un servicio, no sólo vendiendo un producto.

 

Artículos relacionados:

geoestrategia.webnode.es/news/la-empresa-el-uso-de-telefonos-celulares-provistos-por-la-misma/

geoestrategia.webnode.es/news/la-empresa-la-importancia-de-los-documentos-formales/

geoestrategia.webnode.es/news/la-empresa-hablando-se-entiende-la-gente/

geoestrategia.webnode.es/news/la-empresa-para-ser-un-buen-lider-hay-que-saber-escuchar/