Feb 16

Explotando XSS con Metasploit

En el siguiente post, vamos a utilizar el framework XSSF con Metasploit, que nos permitirá atacar a una víctima con un simple XSS.

XSSF es un framework, creado por Ludovic Courgnaud, que nos permite “administrar” víctimas de XSS genéricos y realizar posteriores ataques, así como mantener el enlace para futuros ataques. Podemos encontrar una  descripción más detallada del framework aquí.

Ene 24

Sniffando conversaciones de Facebook con Borogove

Bien sabido es que en Facebook, la red social por excelencia, la seguridad y cifrado brillan por su ausencia. Aunque es posible acceder por HTTPS, si lo hacemos así el chat que incorpora no funciona, por lo que los usuarios acaban conversando siempre en texto en plano.

En mi opinión la compañía de Zuckerberg debería ponerse las pilas en cuanto a proteger la ya de por sí escasa intimidad de sus usuarios, ya que hay una diferencia sustancial en los datos de su parte mas pública de la privada, como chats y mensajes.

Borogove es un script en Python que aprovecha esta debilidad y  permite capturar conversaciones en la red local a modo de sniffer.

Realiza un ataque Man-In-The-Middle envenenando las tablas ARP entre la víctima y su gateway con la herramienta arpspoof. Seguidamente analiza los paquetes del protocolo HTTP en busca de conversaciones y hace un output en tiempo real del destinatario, el emisor y el contenido del mensaje,todo de forma transparente.

Funciona en entornos UNIX y requiere los paquetes pypcap, dpkt y dsniff.

Su uso es simple (como root):

./borogove.py <interfaz> <victima> <gateway>

 

Continue reading

Nov 17

Tutorial Vulnerabilidad CSRF

Inicio Tutorial Cross Site Request Forgery By ShadinessDark = Zero Bits

1.) Presentación

2.) Que es CSRF

3.) Quien descubrió la vulnerabilidad CSRF

4.) CSRF y Xss

5) Robo de Cookies en XSS & CSRF (Diferencia) – Colaboracion de Zero Bits

6.) Testeando vulnerabilidad CSRF y programas el code vulnerable

7.) Sacando una conclusión a todo

8.) Como cuidar nuestra Web de este tipo de ataques

9.) Despedida

1.) Presentación

Primero que nada este tutorial va dedicado a mis amigos de BugDox y a todo los Lectores especialmente a los que no les caigo bien, muchos me harán criticas Y eso es Bueno porque Uds. Me corrigen como muchos saben yo me retire del DEFACING no Es que yo sea conocido ni nada por el estilo este tutorial lo he hecho de manera especial

Para dar la diferencia de otros tutoriales que he visto en la red…

¿Por qué diferente?

Porque la mayoría de los tutoriales visto en la red son poco explicados para iniciados

¿A que se debe este tutorial?

Bueno este tutorial no puedo decir que lo hago con el fin de bien lo hago para bien y Para mal lo hago con concepto de cómo explotarlo y concepto de cómo arreglarlo

No es mi culpa que un Web Master no me haga caso ¿Verdad?

Los saludos más especiales para mis compañeros:

Zero Bits

KuTer

Jeferx

Darki113r

_84kur10_

Z1z30f

Kozmic.Kizz

Continue reading

Jul 30

¿Hackearon Facebook el día de hoy?…

facebook hacked InfoSpywareSeguramente si estas dentro de los 500 millones de usuarios registrados de la red social más grande del mundo llamada Facebook y la estas usando en idioma ‘Español’ te habrás hecho la pregunta de que si  ¿Hackearon Facebook el día de hoy?… al notar ciertas alteraciones en el texto de nuestros perfiles de usuarios.

Por ejemplo en la página principal donde debería decir: “Hoy es el cumpleaños de:” a los que están usando el idioma ‘Español’  les aparece:“Fuck you bitches” al hacer clic en “me gusta” a alguna publicación en lugar de aparecer “ya no me gusta” aparece “inci mınakor” o en lugar de decir el numero de fotos en las que has sido etiquetado, en la sección mi perfil, aparece “dedelere Verdim” así entre otras más.

Continue reading

Jul 27

Nuevas versiones de PHP solucionan varios fallos de seguridad

Se han publicado recientemente nuevas versiones de PHP (versiones 5.2.14 y 5.3.3) que solucionan múltiples problemas de seguridad, que podrían permitir evitar restricciones de seguridad, provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

Continue reading

Jul 12

Facebook Instala el «botón del pánico»

Esta nueva aplicación permitirá a los adolescentes informar de comportamientos sospechosos y recibir ayuda para mantener a salvo su seguridad en la red

Facebook se ha comprometido a adoptar una aplicación destinada a mejorar la seguridad de sus usuarios más jóvenes. El lanzamiento del «botón del pánico», al que le sigue una larga campaña del Centro de Proteccion Online contra la Explotación Infantil, permitirá a los niños y adolescentes informar de comportamientos sospechosos y recibir ayuda, consejo y apoyo para mantener a salvo su seguridad en la red.

Continue reading

Jun 28

Facebook: herramientas para mantener tu privacidad

Hace unos años era imperativo tener un cliente de mensajería para comunicarte con tus amistades y familiares por Internet. Ahora se ha convertido en igual de indispensable publicar toda tu vida y saber de la de ellos a través de redes sociales como Facebook.

El problema es que, a veces, publicamos más información de la que es recomendable en una red tan amplia y accesible. Además, la propia empresa tras Facebook pone cada vez más empeño por hacer que nuestros datos sean visibles por todos.

Aparte de las propias opciones de Facebook relacionadas con la privacidad, de las que ya te hablamos en un post anterior, vamos a explicarte qué nuevas y útiles herramientas han surgido para analizar y aumentar la protección de tus preciados datos personales.

Continue reading