La Comunidad DragonJAR

Gracias a un mensaje de Tom Brennan, me entero de un problema en el Administrador de Contraseñas del Mozilla Firefox, que permite a un atacante mediante XSS (Cross-site scripting) obtener la clave de un usuario almacenada en el navegador.

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar. Leer el resto de la entrada »

Los “dominios” en windows, facilitan muchas de las tareas a la hora de administrar una red, ya que permite realizar una agrupación lógica de servidores de red y otros ordenadores, para compartir  información común sobre cuentas  y seguridad, pero es una practica muy común (aunque poco recomendada) que los administradores de estos dominios reutilicen la clave que usan para el usuario administrador de un equipo en los dominios de windows.

En el siguiente video vamos a ver como  tomar el control de un dominio en windows, cuando se presenta el caso de Reutilización de contraseñas comentado anteriormente: Leer el resto de la entrada »

Process Hacker es un administrador de procesos para windows, totalmente libre y open source, algo así como un “administrador de tareas” con esteroídes, ya que permite ver procesos ocultos, editar la memoria del sistema, matar procesos que el “administrador de tareas” de windows no permite entre otras funciones muy útiles.

Existen muchos programas de este tipo, uno de los mas populares es el Process Explorer de la empresa sysinternals que fue comprada por Microsoft, precisamente por esa compra process explorer ha perdido adeptos (aunque no calidad) y muchos han optado por alternativas totalmente libres como Process Hacker. Leer el resto de la entrada »

No se que pasa con WordPress últimamente, el investigador Francés “Laurent Gaffié” acaba de publicar un full-disclosure en el que explica una nueva vulnerabilidad en la ultima versión de WordPress 2.8.3.

Esta nueva vulnerabilidad permite a un visitante mal intencionado resetar el password de administrador de un administrador impidiendo el acceso del mismo a su propio panel de administración, el error se encuentra en el archivo wp-login.php que no valida adecuadamente. Leer el resto de la entrada »

Gaston Diaz parte del staff de la Revista Tux Info, me ha enviado un correo donde comparte con toda La Comunidad DragonJAR, una serie de cursos principalmente enfocados en software libre, el segundo de esta serie de cursos que comparten con nosotros es el Curso de Redes en GNU Linux.

En el curso de Redes en GNU Linux, aprenderemos  a administrar correctamente una red creada con GNU Linux, a montar diferentes servicios de red y otras labores propias de un administrador de red. Leer el resto de la entrada »

Gracias a blogsecurity y a ayudawordpress me entero de una vulnerabilidad descubierta por Jeremias Reith en WordPress 2.6.3  que podría permitir a un atacante sin identificar acceder a tu blog.

El fallo se encuentra en la funcion “self_link() “del  archivo “wp-includes/feed.php” que al no validar correctamente los parametros de entrada permite realizar un ataque XSS con el que se pueden acceder a las cookies del usuario y obtener privilegios de administrador. Leer el resto de la entrada »

Anteriormente les había hablado sobre Myvidoop una aplicación web que permite administrar nuestras contraseñas fácilmente.

Hoy les presento PassPub una herramienta que nos permite generar contraseñas seguras sin mucho esfuerzo y con una interface sencilla y amigable.

Leer el resto de la entrada »