Cuando se elige hosting se suele mirar características principales como transferencia, espacio, dominios… y si eres programador algo más como si tiene Apache, MySQL, Rails… pero lo que más preocupa -al menos a mi- es el dinero.

Una vez tienes tu hosting eres feliz, todo funciona. Todo el mundo lo usa, es perfecto, incluso alguno consiguen sacarse una pasta con referidos. Pero rara vez algo llega a ser bueno, bonito y barato.

Ayer estuve currando en una “aplicación” para mi nuevo curro, después de unas horas peleándome -en local- con PHP me decido a subir una versión para probarla y deja de funcionar. Al cabo de un buen rato pegándome con todos los archivos me entero de que Dreamhost tiene capada la función fopen y derivadas.

Como la aplicación en si no va a estar en mi server no creo que haya mayor problema pero la cosa me mosqueó bastante y desde hace exactamente 20 horas estoy buscando server. De momento he pensado en un MT compartido y he descartado aruba y Ferca.

Es bastante extraño de explicar pero estas dos últimas semanas he estado deseando que llegase hoy, en general y de paso para poder escribir algo aquí en particular.

Ahora que por fin ha llegado el día no se que hacer, ni por donde empezar, no tengo ganas de mirar nada del CMS, ni explicar algo sobre todo lo que llevo aprendido en ensamblador, que de momento solo he escrito un post sobre ello, ni siquiera tengo ganas de retocar el theme, algo que hasta ahora siempre me ha dado pie a ponerme con otras cosas.

Al principio pensé que era porque no quería escribir sobre programación, pero es que he descubierto que tampoco las tengo de escribir sobre cualquier otra cosa. Me parece que esto va a ser porque llevo un mes muy offline, cosa que no creo que se remedie con el script que me ha pasado aNieto2k para la Feria de Abril.

if (sereno) drink("rebujito");

Script ampliado, este hombre está algo enfermo.

Al parecer esto se va a convertir en una serie de posts. Corregidos los dos errores que encontrasteis en la versión anterior he seguido ampliando el CMS, lo único que le he hecho ha sido incluir la posibilidad de poder comentar cada post.

Parece poco para hacer otro parón a ver si encontráis fallos pero yo no lo creo así, con esto he añadido unos cuantos campos que van casi directamente a la Base de datos, un camino común para hacer SQL injection.

Así que ya sabéis como va la cosa, yo lo dejo ahí, indefenso, en vuestras manos y vosotros intentáis explotar el máximo de vulnerabilidades posibles. No os de miedo romper algo, esto lo hago precisamente para eso y así ir aprendiendo, solo pido que a cambio confeséis vuestros actos.

La url es la misma de siempre: tonsofweed.com

Error 1: Me olvidé de comprobar que si un post pedido existía o no, con un simple if lo he solucionado. Gracias Dr Zippie.

Error 2: Este era más complicado, pero creo que he logrado solucionarlo. Agradecería a alex que intentara repetirlo.

Una vez solucionado el primer fallo por mi parte, porque no se puede llamar ni vulnerabilidad me toca dar un paso más.

Así que os reto a que explotéis alguna vulnerabilidad del CMS, lo podéis encontrar en tonsofweed y es todo vuestro, si tenéis un rato y os queréis entretener intentando encontrarle algún fallo quedaréis satisfechos.

Lo único que pido a cambio es que el que consiga “romper” algo luego me lo diga, más que nada que para cuando lo solucione le ponga por aquí un link y explique lo sucedido.

Error 1: Tengo que decir en mi defensa que me dio pereza cambiar la forma de mostrar los errores de login y por eso lo dejé así, no pensaba que os fijarais en eso -sois buenos. Lo he solucionado con una variable de session. Gracias alex

Error 2: Esto si que no me lo esperaba, supongo que ya está arreglado, simplemente he quitado los or die(error()) de las consultas a la Base de datos. Gracias IgnacioMarcos