> Entries (RSS)
Suscribete a La Comunidad DragonJAR
Oct 24

Actualiza a WordPress 2.6.3 Publicada por DragoN en Seguridad Web .

Se ha detectado un error grave en la librería Snoopy utilizada por Wordpress y otros CMS que permite la ejecución remota de comandos shell usando la funcion exec() de php .

Es recomendable la actualización inmediata de tu instalación de WordPress, como siempre tienes 2 opciones hacer una reinstalación completa, o reemplazar los archivos 3 que modificaron de la versión 2.6.2 a la 2.6.3.

Los archivos modificados en esta versión fueron.

wp-admin\includes\media.php
wp-includes\class-snoopy.php
wp-includes\version.php

Descargar la versión 2.6.3 de WordPress
Descargar archivos modificados de la versión 2.6.2 a la 2.6.3

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 23

Microsoft Publica parche que corrige Vulnerabilidad “Critica” Publicada por DragoN en Noticias Seguridad .

Microsoft acaba de publicar un parche que corrige una vulnerabilidad que cataloga como “critica” y afecta todos los sistemas Windows (desde Windows 2000 a Vista, pasando por XP, 2003, 2008 e incluso el futuro Windows 7 aun en pruebas).

Parche Critico de Microsoft Windows

El alcance del fallo depende del sabor de Windows que utilice el sistema atacado, Los mas afectados son los Sistemas Windows 2000, XP y 2003 ya que esta vulnerabilidad proporciona el control total de forma remota  al sistema víctima a través de los recursos compartidos, facilitando la ejecución de código malicioso y todo esto sin necesidad autenticación ni participación alguna por parte del usuario de la máquina atacada, lo que  deja el terreno abonado para que un gusano automatice el ataque y cause grandes daños. Leer el resto de la entrada »

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 22

Teclados y sus Emanaciones Electromagnéticas Publicada por DragoN en Artículos sobre seguridad .

Seguridad en Teclados

Tradicionalmente para capturar las pulsaciones de un teclado se utilizaban keyloggers (por software o por hardware) pero ahora gracias a un informe publicado por  2 investigadores (Martin Vuagnoux and Sylvain Pasini) del laboratorio de seguridad y criprografia del EPFL (Ecole Polytechnique Fédérale de Lausanne) esto puede cambiar.

En el informe nos cuentan como es posible usar las ondas electromagnéticas que emiten los teclados para revelar información sensible como las pulsaciones de teclado, han encontrado 4 maneras diferentes que permiten una recuperación total o parcial de las pulsaciones de teclado con cable a una distancia de hasta 20 metros, incluso a través de las paredes, se han probado 11 modelos diferentes de teclado con cable comprados entre 2001 y 2008 (PS/2, USB y portátiles). Todos ellos son vulnerables a por lo menos uno de nuestros 4 ataques. Leer el resto de la entrada »

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 20

p0f - Identificación pasiva del Sistema Operativo Publicada por DragoN en Herramientas Seguridad .

Identificación del Sistema Operativo

P0f  es una herramienta de identificación pasiva de sistema operativo, permite detectar el sistema y la versión de las maquinas conectadas a nuestro sistema, a las que nosotros nos conectamos, a las que podemos ver su trafico e incluso a las que no podemos conectarnos (bastante útil).

Aparte de todo esto P0f puede realizar otras tareas bastante interesantes, por ejemplo es capaz de dar una distancia física aproximada del sistema remoto, les dejo un pequeño listado de sus funciones “extra”: Leer el resto de la entrada »

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 19

Detectando el navegador utilizado sin hacer uso del UserAgent Publicada por DragoN en Seguridad Web .

Me entero gracias a chema alonso, sobre una nueva técnica utilizada para detectar el navegador de un visitante llamada Web Browsing Fingerprinting, esta técnica se se basa en la respuesta brindada por el navegador ante una petición especifica, como la respuesta a dicha petición varían según el navegador y su versión esto permite identificarlo sin hacer uso de su “UserAgent”.

El UserAgent es el nombre que identifica cada navegador y que envía cuando realiza una petición a un sitio web, pero este puede ser cambiado fácilmente (de forma manual o utilizando plugins como el User Agent Switcher para firefox) haciéndose pasar por otro navegador/bot/etc….

User Agent Switcher

Por ejemplo, si encontramos un sitio web diseñado solo para iPhone, que permite ser visitado solo desde este dispositivo haciendo la validación por medio de su “UserAgent”, bastaría con cambiar el identificador en nuestro navegador  por “Mozilla/5.0 (iPhone; U; CPU iPhone OS 2_1 like Mac OS X; en-us) AppleWebKit/525.18.1 (KHTML, like Gecko) Version/3.1.1 Mobile/5F136 Safari/525.20” (UserAgent de un iPhone 3G) y podríamos entrar a este sitio “solo para iPhone” sin tener uno.

La cosa es distinta si en el portal se implementa el Web Browsing Fingerprinting ya que se ignora el valor enviado por el UserAgent y se intenta identificar el navegador por la respuesta que da a una petición especifica, WBfingerprinting es un sencillo código javascript que nos muestra el funcionamiento de esta técnica, pueden ver una prueba de concepto corriendo en los servidores de informatica64.

De momento solo son detectados los principales navegadores, pero su código fuente esta disponible para que puedas adaptarlo a tus necesidades.

Mas Información:
Web Browsing Fingerprinting
Javascript Web Browser Fingerprinting
Código Fuente
Un buen listado de UserAgent’s lo encuentran en zytrax

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 16

Beholder - Un IDS para Redes Inalambricas Publicada por 4v4t4r en Herramientas Seguridad, Seguridad inalámbrica .

Beholder se presenta como una solución de libre uso y libre distribución para monitorear y administrar nuestras conexiones WiFi frente a las diferentes amenazas a la que están expuestas (accesos no autorizados, Access Points falsos, etc.)

IDS para Redes Inalambricas

Beholder llega proponiendo una alternativa libre frente a las diferentes soluciones mayormente comerciales y/o propietarias. Beholder es una herramienta escrita en lenguaje C y basada en IWLIST, disponible para plataformas linux, puede usarse con cualquier tecnología 802.11 que la placa de red soporte y no es dependiente del driver, corre con todos los drivers wifi de linux. entre sus bondades se destacan:
Cambio de canales, essid, Mac, Modos.

Leer el resto de la entrada »

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 7

Explicación de Clickjacking con Ejemplos Prácticos Publicada por DragoN en Seguridad Web .

Ya se conocen los pormenores del  Clickjacking la vulnerabilidad descubierta por Jeremiah Grossman y Robert Hansen que tanto ha dado de que hablar en la red.

Clickjacking

Estaba empezando a escribir sobre este bug basado en la explicación de Robert Hansen cuando veo en el blog de Jose Carlos Norte una explicación simple, detallada, con ejemplos…. y como últimamente ando un poco corto de tiempo mejor les doy el enlace

Guya.net ha sacado un video en el que se utiliza el Clickjacking para permitir (sin darnos cuenta) el acceso de nuestra webcam a una animacion flash..

Tambien ha publicado su demo para que comprobemos nosotros mismos..

Giorgio Maone (creador de NoScript) ha sacado una nueva versión de su excelente extencion para Firefox que nos protege del Clickjacking en el Navegador estrella de la Fundación Mozilla.. (para otros navegadores ver estas recomendaciones)

NoScript Clickjacking

Para Mas Información:
Clickjacking Details

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 4

Crackeando un billon de passwords por segundo con tarjetas NVIDIA Publicada por DragoN en Criptografia, Herramientas Seguridad .

A comienzos de año les comentaba sobre la idea de la empresa ElcomSoft para descifrar contraseñas con una GeForce 8800 Ultra, pues les cuento que la idea de esta empresa se ha materializado y han sacado a la venta la nueva versión de su software “Distributed Password Recovery”, cuya principal novedad es la de poder utilizar las GPU (Graphics Processing Unit) de las tarjetas NVIDIA (de la rama 8800XX) que permite reducir el tiempo de recuperado de passwords 20 veces…

edajd3 Crackeando un billon de passwords por segundo con tarjetas NVIDIA

Leer el resto de la entrada »

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 3

Magic Blue Hack - Controla Remotamente Celulares con Bluetooth Publicada por DragoN en Seguridad móvil .

Magic Blue Hack es una aplicación para realizar Hacking sobre Bluetooth, al instalar MagicBlueHack en tu Teléfono Celular podrás controlar otro teléfono que tenga el Bluetooth activado.

Robar Minutos por Bluetooth

Entre las funciones que permite manipular del teléfono “victima” se encuentra las de realizar llamadas, enviar mensajes de texto, ver los contactos, leer mensajes de texto, mirar las fotos, archivos de audio… Leer el resto de la entrada »

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!
Oct 3

Usuario de la Comunidad (CarTuro) Gana Concurso de Peugeot Publicada por DragoN en Variado .

No se si recuerdan la campaña que emprendimos desde el foro y la web para ayudar a Carlos Arturo (CarTuro) usuario de la comunidad que participo en el concurso de Diseño Peugeot 2008, les comento con alegría que Carlos Arturo ha sido el ganador de este concurso, desde aquí le envió mis felicitaciones…

Comparte este post:
  • Meneame
  • BarraPunto
  • Digg
  • BlogMemes Sp
  • Wikio
  • Google
  • Technorati
  • YahooMyWeb
  • del.icio.us
  • Facebook
  • MySpace
  • TwitThis
  • Pownce
  • E-mail this story to a friend!
  • Print this article!

  • Acerca de...

    DragonJAR.org es una comunidad de investigadores, estudiantes, profesionales y entusiastas de la Seguridad Informática, En la cual se busca darle un enfoque eminentemente práctico a la teoría sin olvidar las bases esenciales de esta.

    De esta manera se Tratará de ofrecer soluciones útiles a los usuarios, tanto novatos, estudiantes, como a los profesionales e investigadores, Teniendo presente que el mundo de la seguridad informática y la información es un medio que se auto inventa constantemente.