Porque un null-route a una ip no es una solución, es una chapuza.
Si unos script-kiddies están DDoSeando tu web…..
1) Se basa en ataques reales.
2) No hay nada de teoría, solo parte práctica.
Feb
21
Category Archives: Seguridad Web
Feb
16
Explotando XSS con Metasploit
En el siguiente post, vamos a utilizar el framework XSSF con Metasploit, que nos permitirá atacar a una víctima con un simple XSS.
XSSF es un framework, creado por Ludovic Courgnaud, que nos permite “administrar” víctimas de XSS genéricos y realizar posteriores ataques, así como mantener el enlace para futuros ataques. Podemos encontrar una descripción más detallada del framework aquí.
Ene
24
Sniffando conversaciones de Facebook con Borogove
Bien sabido es que en Facebook, la red social por excelencia, la seguridad y cifrado brillan por su ausencia. Aunque es posible acceder por HTTPS, si lo hacemos así el chat que incorpora no funciona, por lo que los usuarios acaban conversando siempre en texto en plano.
En mi opinión la compañía de Zuckerberg debería ponerse las pilas en cuanto a proteger la ya de por sí escasa intimidad de sus usuarios, ya que hay una diferencia sustancial en los datos de su parte mas pública de la privada, como chats y mensajes.
Borogove es un script en Python que aprovecha esta debilidad y permite capturar conversaciones en la red local a modo de sniffer.
Realiza un ataque Man-In-The-Middle envenenando las tablas ARP entre la víctima y su gateway con la herramienta arpspoof. Seguidamente analiza los paquetes del protocolo HTTP en busca de conversaciones y hace un output en tiempo real del destinatario, el emisor y el contenido del mensaje,todo de forma transparente.
Funciona en entornos UNIX y requiere los paquetes pypcap, dpkt y dsniff.
Su uso es simple (como root):
./borogove.py <interfaz> <victima> <gateway>
Nov
17
Tutorial Vulnerabilidad CSRF
Inicio Tutorial Cross Site Request Forgery By ShadinessDark = Zero Bits
1.) Presentación
2.) Que es CSRF
3.) Quien descubrió la vulnerabilidad CSRF
4.) CSRF y Xss
5) Robo de Cookies en XSS & CSRF (Diferencia) – Colaboracion de Zero Bits
6.) Testeando vulnerabilidad CSRF y programas el code vulnerable
7.) Sacando una conclusión a todo
8.) Como cuidar nuestra Web de este tipo de ataques
9.) Despedida
1.) Presentación
Primero que nada este tutorial va dedicado a mis amigos de BugDox y a todo los Lectores especialmente a los que no les caigo bien, muchos me harán criticas Y eso es Bueno porque Uds. Me corrigen como muchos saben yo me retire del DEFACING no Es que yo sea conocido ni nada por el estilo este tutorial lo he hecho de manera especial
Para dar la diferencia de otros tutoriales que he visto en la red…
¿Por qué diferente?
Porque la mayoría de los tutoriales visto en la red son poco explicados para iniciados
¿A que se debe este tutorial?
Bueno este tutorial no puedo decir que lo hago con el fin de bien lo hago para bien y Para mal lo hago con concepto de cómo explotarlo y concepto de cómo arreglarlo
No es mi culpa que un Web Master no me haga caso ¿Verdad?
Los saludos más especiales para mis compañeros:
Zero Bits
KuTer
Jeferx
Darki113r
_84kur10_
Z1z30f
Kozmic.Kizz
Ago
05
Instalar un servidor Web en Debian
Estado echando un vistazo a paneles libres el otro día… y decidido montar un servidor web para despues probar distintos paneles de Hosting.
Ago
01
X Campo – Generador de payloads XSS
XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas:
Jul
30
¿Hackearon Facebook el día de hoy?…
Seguramente si estas dentro de los 500 millones de usuarios registrados de la red social más grande del mundo llamada Facebook y la estas usando en idioma ‘Español’ te habrás hecho la pregunta de que si ¿Hackearon Facebook el día de hoy?… al notar ciertas alteraciones en el texto de nuestros perfiles de usuarios.
Por ejemplo en la página principal donde debería decir: “Hoy es el cumpleaños de:” a los que están usando el idioma ‘Español’ les aparece:“Fuck you bitches” al hacer clic en “me gusta” a alguna publicación en lugar de aparecer “ya no me gusta” aparece “inci mınakor” o en lugar de decir el numero de fotos en las que has sido etiquetado, en la sección mi perfil, aparece “dedelere Verdim” así entre otras más.
Jul
27
Nuevas versiones de PHP solucionan varios fallos de seguridad
Se han publicado recientemente nuevas versiones de PHP (versiones 5.2.14 y 5.3.3) que solucionan múltiples problemas de seguridad, que podrían permitir evitar restricciones de seguridad, provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.
PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.
Jul
12
Facebook Instala el «botón del pánico»
Esta nueva aplicación permitirá a los adolescentes informar de comportamientos sospechosos y recibir ayuda para mantener a salvo su seguridad en la red
Facebook se ha comprometido a adoptar una aplicación destinada a mejorar la seguridad de sus usuarios más jóvenes. El lanzamiento del «botón del pánico», al que le sigue una larga campaña del Centro de Proteccion Online contra la Explotación Infantil, permitirá a los niños y adolescentes informar de comportamientos sospechosos y recibir ayuda, consejo y apoyo para mantener a salvo su seguridad en la red.
Jun
28
