Al chaval le ha costado un poco pero la espera ha merecido la pena. Después de unas semanas en las cuales mi única frase hacia el era: “Has hecho algo ya?”, para la cual siempre tenía la misma respuesta: “No estoy inspirado” por fin ha salido. Es un muy buen diseño, minimalista -como iba a ser sino- y que espero que haga prosperar al freelance que hay detrás.

Álvaro Castaño, es el diseñador que está detrás de esta maravilla de portfolio que ha evolucionado a blog con temática que aún no acabo de ubicar.

Personalmente este proyecto rejuvenecido me interesa y no solo porque considere a Álvaro un buen colega sino porque ya he hecho un par de ñapas para él, desde que le conocí en mi corta pero intensa estancia en Grupoblog, y espero que lleguen muchas más.

Al parecer esto se va a convertir en una serie de posts. Corregidos los dos errores que encontrasteis en la versión anterior he seguido ampliando el CMS, lo único que le he hecho ha sido incluir la posibilidad de poder comentar cada post.

Parece poco para hacer otro parón a ver si encontráis fallos pero yo no lo creo así, con esto he añadido unos cuantos campos que van casi directamente a la Base de datos, un camino común para hacer SQL injection.

Así que ya sabéis como va la cosa, yo lo dejo ahí, indefenso, en vuestras manos y vosotros intentáis explotar el máximo de vulnerabilidades posibles. No os de miedo romper algo, esto lo hago precisamente para eso y así ir aprendiendo, solo pido que a cambio confeséis vuestros actos.

La url es la misma de siempre: tonsofweed.com

Error 1: Me olvidé de comprobar que si un post pedido existía o no, con un simple if lo he solucionado. Gracias Dr Zippie.

Error 2: Este era más complicado, pero creo que he logrado solucionarlo. Agradecería a alex que intentara repetirlo.

Me acabo de dar cuenta de que tengo invitaciones para Animersion, un tracker de BitTorrent privado y muy bueno, eso sí, tienes que andarte con ojo con el ratio.

Solo se puede entrar con invitación, de momento tengo 11 así que si queréis una dejarlo en los comentarios, rellenando correctamente el campo del email.

Queda(n) 0 invitación(es)

Una vez solucionado el primer fallo por mi parte, porque no se puede llamar ni vulnerabilidad me toca dar un paso más.

Así que os reto a que explotéis alguna vulnerabilidad del CMS, lo podéis encontrar en tonsofweed y es todo vuestro, si tenéis un rato y os queréis entretener intentando encontrarle algún fallo quedaréis satisfechos.

Lo único que pido a cambio es que el que consiga “romper” algo luego me lo diga, más que nada que para cuando lo solucione le ponga por aquí un link y explique lo sucedido.

Error 1: Tengo que decir en mi defensa que me dio pereza cambiar la forma de mostrar los errores de login y por eso lo dejé así, no pensaba que os fijarais en eso -sois buenos. Lo he solucionado con una variable de session. Gracias alex

Error 2: Esto si que no me lo esperaba, supongo que ya está arreglado, simplemente he quitado los or die(error()) de las consultas a la Base de datos. Gracias IgnacioMarcos