XSSF es un framework, creado por Ludovic Courgnaud, que nos permite “administrar” víctimas de XSS genéricos y realizar posteriores ataques, así como mantener el enlace para futuros ataques. Podemos encontrar una descripción más detallada del framework aquí.
Bien sabido es que en Facebook, la red social por excelencia, la seguridad y cifrado brillan por su ausencia. Aunque es posible acceder por HTTPS, si lo hacemos así el chat que incorpora no funciona, por lo que los usuarios acaban conversando siempre en texto en plano.
En mi opinión la compañía de Zuckerberg debería ponerse las pilas en cuanto a proteger la ya de por sí escasa intimidad de sus usuarios, ya que hay una diferencia sustancial en los datos de su parte mas pública de la privada, como chats y mensajes.
Borogove es un script en Python que aprovecha esta debilidad y permite capturar conversaciones en la red local a modo de sniffer.
Realiza un ataque Man-In-The-Middle envenenando las tablas ARP entre la víctima y su gateway con la herramienta arpspoof. Seguidamente analiza los paquetes del protocolo HTTP en busca de conversaciones y hace un output en tiempo real del destinatario, el emisor y el contenido del mensaje,todo de forma transparente.
Funciona en entornos UNIX y requiere los paquetes pypcap, dpkt y dsniff.
Su uso es simple (como root):
./borogove.py <interfaz> <victima> <gateway>
Inicio Tutorial Cross Site Request Forgery By ShadinessDark = Zero Bits
1.) Presentación
2.) Que es CSRF
3.) Quien descubrió la vulnerabilidad CSRF
4.) CSRF y Xss
5) Robo de Cookies en XSS & CSRF (Diferencia) – Colaboracion de Zero Bits
6.) Testeando vulnerabilidad CSRF y programas el code vulnerable
7.) Sacando una conclusión a todo
8.) Como cuidar nuestra Web de este tipo de ataques
9.) Despedida
1.) Presentación
Primero que nada este tutorial va dedicado a mis amigos de BugDox y a todo los Lectores especialmente a los que no les caigo bien, muchos me harán criticas Y eso es Bueno porque Uds. Me corrigen como muchos saben yo me retire del DEFACING no Es que yo sea conocido ni nada por el estilo este tutorial lo he hecho de manera especial
Para dar la diferencia de otros tutoriales que he visto en la red…
¿Por qué diferente?
Porque la mayoría de los tutoriales visto en la red son poco explicados para iniciados
¿A que se debe este tutorial?
Bueno este tutorial no puedo decir que lo hago con el fin de bien lo hago para bien y Para mal lo hago con concepto de cómo explotarlo y concepto de cómo arreglarlo
No es mi culpa que un Web Master no me haga caso ¿Verdad?
Los saludos más especiales para mis compañeros:
Zero Bits
KuTer
Jeferx
Darki113r
_84kur10_
Z1z30f
Kozmic.Kizz
Estado echando un vistazo a paneles libres el otro día… y decidido montar un servidor web para despues probar distintos paneles de Hosting.
XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas:
Seguramente si estas dentro de los 500 millones de usuarios registrados de la red social más grande del mundo llamada Facebook y la estas usando en idioma ‘Español’ te habrás hecho la pregunta de que si ¿Hackearon Facebook el día de hoy?… al notar ciertas alteraciones en el texto de nuestros perfiles de usuarios.
Por ejemplo en la página principal donde debería decir: “Hoy es el cumpleaños de:” a los que están usando el idioma ‘Español’ les aparece:“Fuck you bitches” al hacer clic en “me gusta” a alguna publicación en lugar de aparecer “ya no me gusta” aparece “inci mınakor” o en lugar de decir el numero de fotos en las que has sido etiquetado, en la sección mi perfil, aparece “dedelere Verdim” así entre otras más.
Se han publicado recientemente nuevas versiones de PHP (versiones 5.2.14 y 5.3.3) que solucionan múltiples problemas de seguridad, que podrían permitir evitar restricciones de seguridad, provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.
PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.
Facebook se ha comprometido a adoptar una aplicación destinada a mejorar la seguridad de sus usuarios más jóvenes. El lanzamiento del «botón del pánico», al que le sigue una larga campaña del Centro de Proteccion Online contra la Explotación Infantil, permitirá a los niños y adolescentes informar de comportamientos sospechosos y recibir ayuda, consejo y apoyo para mantener a salvo su seguridad en la red.
Hace unos años era imperativo tener un cliente de mensajería para comunicarte con tus amistades y familiares por Internet. Ahora se ha convertido en igual de indispensable publicar toda tu vida y saber de la de ellos a través de redes sociales como Facebook.
El problema es que, a veces, publicamos más información de la que es recomendable en una red tan amplia y accesible. Además, la propia empresa tras Facebook pone cada vez más empeño por hacer que nuestros datos sean visibles por todos.
Aparte de las propias opciones de Facebook relacionadas con la privacidad, de las que ya te hablamos en un post anterior, vamos a explicarte qué nuevas y útiles herramientas han surgido para analizar y aumentar la protección de tus preciados datos personales.
