La Comunidad DragonJAR

Hasta hace unas semanas Facebook solo cifraba nuestra información cuando ingresábamos en su sistema, dejando a merced de cualquiera con un sniffer o un navegador web, toda nuestra información (incluyendo chats, secciones, etc..); Facebook se dio cuenta del problema y empezó a cambiar esto permitiendo el uso de httpS siempre y no solo en el login, la noticia empezó a rodar por la web incluso en sitios relacionados con la seguridad en español, sin que esta solución estuviera todavía implementada en nuestro idioma (todos con el mismo pantallazo).

En la comunidad ya habíamos escrito artículos sobre como forzar las conexiones seguras en las redes sociales y hasta hace poco eran la única alternativa que teníamos los hispanohablantes para asegurar nuestra conexión segura en las redes sociales (aunque otros dijeran lo contrario). Leer más…

El Phishing a entidades Bancarias es uno de los fraudes mas extendidos por Internet, debido a que es muy sencillo realizarlos y distribuirlos, creando grandes beneficios, sin grandes peligros para los delincuentes.

En esta ocasión les traigo una denuncia realizada por HAN jmsm, donde nos alerta de un nuevo caso de suplantación de identidad hacia BBVA; El mensaje con el que el delincuente pretendía hacerse con los datos financieros nuestros es el siguiente:

Cuando se ingresa al enlace que proporcionan en el mensaje, (que realmente apunta a http://bbvanetoffice.dyndns-ip.com/local_bdnoj/ ya dada de baja..) encontramos el siguiente sitio: Leer más…

En la comunidad ya hemos visto el potencial que tiene Firefox como herramienta de auditoria web, utilizando extensiones para potencializar sus características, ahora veremos un proyecto llamado Mantra, que pretende integrar todas estas herramientas en un solo lugar.

Mantra es un proyecto hindú cuyo objetivo es integrar todas las extensiones de seguridad de Firefox, en una compilación personalizada del navegador,  de modo que sea portable, de facil uso y totalmente configurable, esta disponible para Microsoft Windows, GNU Linux y algunas de las herramientas que incorpora son: Leer más…

TwitterPasswordDecryptor es una herramienta gratuita que te permite recuperar la contraseña de tu cuenta en twitter que tengas guardada en tu navegador, es compatible con los navegadores mas populares (Internet Explorer, Firefox, Google Chrome y Opera), funciona en Windows XP/Visita/7 y Server, incluye una versión portable por si has guardado tu cuenta twitter en mas de un computador (guiño guiño), permite guardar listas y es bastante rápido.

El mismo ejecutable que nos arroja esta bonita interface, si es ejecutado por linea de comandos y con un archivo como parámetro, nos guardará automáticamente las claves de twitter que encuentre en los diferentes navegadores soportados, algo muy útil si queremos automatizar el proceso recuperar nuestra clave de todos los computadores donde la hemos dejado, sin levantar sospecha.

Aunque esta herramienta no es tan potente como otras que te permiten recupera TODAS las contraseñas almacenadas en tu navegador, es una buena opción a tener en cuenta si lo que deseas recuperar es solo tu cuenta de twitter. Leer más…

Actualizo esta entrada creada hace mas de 4 años, para anunciar que la base de datos de Google Hacking ha “renacido” y no es que la base de datos iniciada por Johnny Long no este disponible (de hecho aun esta online y muchos de las puertas funcionan todavía), lo que pasa es que “j0hnny” se encuentra de misionero en África y donó la base de datos de Google Hacks a exploit-db.com (quien también reemplazo milw0rm) para que sea organizada y actualizada por esta activa comunidad.

Espero que la noticia les alegre tanto como a mi y que esta base de datos cresca mucho mas, mostrándonos todo el potencial de Google para el hacking.

Entrar a la Google Hacking Database

Mas Información:
Anuncio de la inclusión en exploit-db.com
Noticia en La Comunidad DragonJAR

Hace unos días recibí un correo de Christian Navarrete, uno de los creadores, de una herramienta de seguridad llamada DotDotPwn, para recomendar el uso de esta herramienta a toda nuestra comunidad.

Hoy por fin puedo probar la herramienta y escribir sobre ella, DotDotPwn es una utilidad especialmente diseñada para automatizar el proceso de búsqueda de “Directory Traversal” o escalada de directorios, esta escrita en Perl y permite testear servidores FTP, TFTP, HTTP, o cualquier aplicación web, facilitando así al los auditores la búsqueda de esta vulnerabilidad de forma automatizada. Leer más…

Una de las charlas que mas causaba expectativas en la EKO Party, era la del Vietnamita Thai Duong y el argentino Juliano Rizzo titulada “Padding Oracles Everywhere”, ya que no solo nos enseñarían como funciona este ataque, sino que nos mostrarían un nuevo fallo de seguridad que afectaria por lo menos a un 25% de los sitios web activos en la red.

Todo lo que esperábamos de estos 2 personajes se cumplió, no solo nos explicaron claramente el funcionamiento de los ataques “Padding Oracle”, sino que nos mostraron como utilizaron este ataque para descubrir un fallo en el Frameork de ASP.NET y hasta hicieron llover 0days en la EKO.

Afortunadamente para quienes no asistieron a la EKO, sus organizadores han publicado en la cuenta oficial del evento, el vídeo de esta excelente charla, para que todos puedan disfrutar de ella y en La Comunidad DragonJAR, lo compartimos con todos ustedes.

Alguna información adicional sobre el fallo y como mitigarlo:

• Security Advisory 2416728, lanzado por Microsoft
• Consejos para mitigar el fallo, por pentonizer.com
• Understanding the ASP.NET Vulnerability
• Important: ASP.NET Security Vulnerability

Twitter esta siendo utilizado como medio de transmisión de un gusano, de momento se desconocen los detalles de estés pero utiliza como medio de difusión una vulnerabilidad CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) en Twitter que permite con solo visitar un enlace, publicar automáticamente 2 twitts en la cuenta de quien lo visita (si este se encuentra logueado).
Leer más…

Gracias a Cristian Borghello me entero que en Devshed.com han publicado una guías paso a paso para asegurar sitios con PHP, las cuales complementan la lista Lista de tareas para revisar la seguridad en proyectos PHP que publicamos en la comunidad hace poco.

Secure PHP Programing y Securing Your PHP Website son un resumen del libro Beginning PHP and Oracle, escrito por W. Jason Gilmore y Bob Bryla y en el que tratan de sobre temas como, la configuración segura de PHP, como asegurar nuestra aplicación en PHP, como validar los datos adecuadamente, entre otras cosas. Leer más…