X Campo – Generador de payloads XSS

XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas: De momento los payloads con los que cuenta la herramienta son: Fake login: Genera un div sobre el resto de la pagina con un campo de login falso. Los datos se envían al sitio web que nosotros queramos y ya ahí somos responsables de hacer lo que queramos con el usuario. hax0r defacement: Intenta poner un div sobre toda la pagina, incluir un texto e incluso reproducir una cancion. Form redirection: Muy útil en ataques XSS que se encuentran en las paginas de login. Cambia el evento action de todos los forms a la dirección que le digamos. Ademas elimina cualquier tipo de Javascript de validación que existiera, por si acaso! Password managers: La idea es, haciendo uso de Javascript, robar la informacion que los navegadores autocompletan cuando hemos guardado el usuario y contraseña en una pagina. Por ahora solo esta implementado el de Internet Explorer, pero el de Firefox no seria dificil de hacer. Session cookies: Lo mas típico! Podemos enviar las cookies de un navegador hacia el dominio que queramos. Ademas existen tres maneras de hacerlo: iframe img pop-up Aunque es un proyecto joven, promete ser una buena herramienta para enviar el típico alert(hola);, si deseas utilizar el X Campo, puedes hacerlo online entrando a esta url (no es la ultima versión) o descargar el código fuente desde Google Code y montarlo en tu propio sistema (la ultima versión). Mas Información: Pagina Oficial del...

Leer Más

Bits y Qubits, El camino de la criptografía – Parte I

Siglos atrás, cuando empezaron a conformarse sociedades grandes y complejas en donde existían intereses particulares que no debían ser conocidos, se recurría a la utilización de métodos de comunicación que garantizaran el  secreto o confidencialidad de la información a compartir. Por ejemplo Julio César utilizaba un sistema de cifrado1 (de sustitución monoalfabética) para comunicarse con sus fuerzas militares dentro y fuera de Roma, diseño que mucho más tarde fue mejorado en el siglo XIX por Blaise de Vigenère a quien se le atribuyó el desarrollo de un cifrador de sustitución polialfabética2 mucho más elaborado, en el cual se empleó por primera vez el uso de una clave compartida (tal como en la actualidad). Hasta el siglo XIX las sustituciones y transposiciones constituían las técnicas más comunes para ocultar mensajes a compartir,  mismas que eran confiables hasta que alguien lograba descubrir su funcionamiento (o algoritmo). Actualmente en cambio, se aplican las matemáticas como base fundamental de la criptografía, aportando un nivel de seguridad evidentemente mucho más elevado en donde los algoritmos incluso son conocidos por el público. De hecho el alemán Auguste Kerckhoffs3, planteó un principio en el que argumenta que “la fortaleza de un cifrador está en la fortaleza de su llave y no en cuán secreto sea su algoritmo”, valiosa lección que fue comprobada con sangre por sus compatriotas derrotados en la segunda guerra mundial, que se comunicaban con máquinas que cifraban las comunicaciones (como la Enigma4) cuyo diseño era evidentemente secreto, mecanismo que fue realmente efectivo hasta que el inglés Alan Turing5 (quien sentó las bases de la computación moderna) logró descifrar sus transmisiones en uno de los casos de criptoanálisis más memorables, evidenciando que el esfuerzo de mantener secreto un algoritmo de cifrado es inútil y que la seguridad del mismo recae directamente en la dificultad para descifrar su clave. Siguiendo el principio de Kerckhoffs un gran número de diseños de cifradores actuales son abiertos y utilizan claves tan fuertes que podría tardarse años (cientos o miles) intentando descifrarlas con la capacidad de cómputo actual, aspecto que será revaluado al final del documento. Teniendo ahora una somera visión del camino de la criptografía hasta nuestros días, es importante mencionar de forma muy breve algunas de sus aplicaciones. Bases de Datos Los motores de bases de datos incluyen algoritmos criptográficos dentro de  su abanico de funciones, cuya implementación en sistemas de información es muy recomendable, evitando codificarlos o reusar código fuente de terceros. Comunicaciones en Internet TLS v1.2 es un protocolo derivado de SSL que provee comunicaciones seguras a través de la Internet, previniendo eavesdropping, tampering o message forgery. Una gran ventaja del protocolo es su capacidad...

Leer Más

Generando informes en HTML con NMAP

NMAP (Network Mapper) ha sido, es y todo dice que seguirá siendo la principal herramienta de seguridad, tanto para quienes desean auditar sus servidores como para los hackers que buscan infilitrarse en ellos, en lo que a escaneo de puertos se refiere. A pesar de que existe una interfaz gráfica para manipular Nmap llamada NmapFE (FE = Front End, muchos siguen trabajando en su fenomenal línea de comandos. Sin embargo, quizá el detalle que le faltaba para ser una utilidad casi perfecta era la capacidad de generar una salida en HTML de los escaneos realizados. Nmap Report Tool es una aplicación cuya licencia es libre que permite mostrar estos resultados en HTML. Diseñada utilizando el lenguaje PERL por marcositu le permitirá mantener un histórico amigable de sus auditorías con Nmap. Descargar aquí También puede interesarte: Nmap Online Nueva versión de Nmap Identificación del Sistema Operativo Video de uso de Nmap Nmap una herramienta de...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES