Archivos de Etiquetas: JAVA

Explotando vulnerabilidad Java 0day y buscando soluciones

12 enero 2013 9 Comentarios

Un investigador publicaba hace días en su blog, la vulnerabilidad que afectaba al último update de . Yo mismo escribí sobre ella en el blog de S21Sec.

En el post de aquí vamos a ver como explotar la vulnerabilidad con y como podemos llegar a defendernos de la vulnerabilidad si no podemos desactivar Java, aunque la recomendación es desactivarlo hasta que Oracle solucione el fallo.

Explotando el fallo con Metasploit.

Primero de todo, actualizamos y arrancamos Metasploit, luego buscamos el expoit de Java correspondiente.

Para actualizar Metasploit lo hacemos con msfupdate y lo arrancamos con msfconsole

Metasploit

Para ver que opciones hay que indicarle al exploit introducimos show options 

Opciones de exploit

Solo tendremos que indicarle IP y puerto, indicamos los datos y lanzamos el exploit:

meta2k Explotando vulnerabilidad Java 0day y buscando soluciones

Exploit

Cuando el usuario visite la web verá lo siguiente:

Internet Explorer exploit

En Metasploit obtendremos una sesión de Meterpreter:

Exploit success

Con la sesión explotada podremos obtener información del equipo, volcar contraseñas… etc

PS

¿Como podemos evitar la vulnerabilidad?

El primer consejo es deshabilitar Java, en al documentación de Oracle tenemos la información de como hacerlo. Si por lo que sea no podemos o no queremos deshabilitarlo, podemos usar herramientas que eviten la explotación de la vulnerabilidad. Por ejemplo si navegamos con Firefox podemos usar No Script.

Si usamos este addon para Firefox, cuando el atacante intente explotar la vulnerabilidad no le será posible. El usuario vería lo siguiente:

meta8 Explotando vulnerabilidad Java 0day y buscando soluciones

No script en Firefox

El atacante no obtendrá sesión con Metasploit:

Metasploit FAIL

Aplicar el parche antes que Oracle

Ya que Oracle no ha sacado actualización que solucione el fallo ya existen posibilidades de aplicar nosotros mismos el parche de manera no oficial.

Podemos consultar el detalle aquí.

Artículos sobre seguridad, Contramedidas, Herramientas Seguridad
, , ,

Programación en Java Orientada a la Seguridad Informática – Episodio 3

5 enero 2013 Comentarios desactivados

La tercera entrega del curso en Orientada a la Informática, esta lista, una iniciativa que se viene gestando hace algún tiempo entre ./r00tc0d3rs , una joven comunidad de seguridad informática colombiana y la comunidad DragonJAR, con la finalidad de compartir conocimiento en vídeos, de programación enfocada a la seguridad informática y temas de seguridad informática en concreto.

El tercer producto de esta iniciativa es el capitulo 3 del tutorial Programación en Java Orientada a la Seguridad Informática, con los conceptos de condicionales, validaciones, etc… los dejo con esta entrega y espero que sigan pendientes de esta iniciativa.trans Programación en Java Orientada a la Seguridad Informática Episodio 3 Leer más…

Documentacion, Proyectos
, ,

Programación en Java Orientada a la Seguridad Informática – Episodio 2

22 diciembre 2012 4 Comentarios

La segunda entrega del curso en Orientada a la Informática, esta lista, una iniciativa que se viene gestando hace algún tiempo entre ./r00tc0d3rs , una joven comunidad de seguridad informática colombiana y la comunidad DragonJAR, con la finalidad de compartir conocimiento en vídeos, de programación enfocada a la seguridad informática y temas de seguridad informática en concreto.

El segundo producto de esta iniciativa es el capitulo 2 del tutorial Programación en Java Orientada a la Seguridad Informática, con los conceptos elementales de tipos de datos, manejos de cadena, el copceto de prioridad, envio y recepcion de valores, etc… los dejo con esta entregay espero que sigan pendientes de esta iniciativa. Leer más…

Documentacion, Proyectos
, ,

Programación en Java Orientada a la Seguridad Informática – Episodio 1

18 diciembre 2012 2 Comentarios

en Orientada a la Informática, es una iniciativa que se viene gestando hace algún tiempo entre ./r00tc0d3rs , una joven comunidad de seguridad informática colombiana y la comunidad DragonJAR, con la finalidad de compartir conocimiento en vídeos, de programación enfocada a la seguridad informática y temas de seguridad informática en concreto.

El primer producto de esta iniciativa es el capitulo 1 del tutorial Java Básico, con los conceptos elementales de este lenguaje, los dejo con esta entrega inicial y espero que sigan pendientes de esta iniciativa. Leer más…

Documentacion, Proyectos
, ,

Video Tutorial SET (Social Engineering Toolkit)

7 octubre 2012 6 Comentarios

La es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de , para ver que tan vulnerable es la empresa a este tipo de y tomar las medidas correspondientes.

SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar o cds/dvds infectados, todo esto perfectamente integrado con el grandioso . Leer más…

Herramientas Seguridad, Pentest
, , , , , , ,

Soporte para Flash y JAVA en el iPhone / iPod Touch

28 abril 2010 18 Comentarios

Dejando atras las peleas entre y , sobre si es conveniente o no darle soporte a en el / Touch, les dejo esta CloudBrowse que seguro les va a encantar.

CloudBrowser es una aplicacion para el iPhone e que nos permite utilizar un atravez de un sistema de Cloud Computing, pero ademas de esto, nos permite visualizar e interactuar con aplicaciones y animacion creadas en Flash y . Leer más…

Seguridad móvil
, , , , , , , , ,

Ingeniería Inversa en Aplicación JAVA y JNLP

2 diciembre 2009 6 Comentarios

En lo personal nunca me ha gustado como lenguaje de , siempre hice los trabajos universitarios con este lenguaje por obligación pero nunca me convenció del todo, ya que es mas lento que otros lenguajes y es muy sencillo decompilar un código creado con java utilizando herramientas gratuitas como Java Decompiler (aunque se puede ofuscar el código). No estoy diciendo que sea un mal lenguaje de programación, es mas tiene varias ventajas frente a muchos otros lenguajes, como el echo de ser multiplataforma y que prácticamente existen clases para casi todo lo que necesitas hacer, solo digo que a mi en lo personal no me pasa.

En esta ocasión les traigo un vídeo creado por JavaGuru en el que nos enseña de una forma practica, como realizar ingeniería inversa a un juego de ajedrez desarrollado en JAVA y , el vídeo muestra como eliminar una de las restricciones implementadas en este juego, pero los conceptos pueden ser aplicados en cualquier aplicación desarrollada en JAVA y que utilice .
Leer más…

Documentacion, Noticias Software
, , , ,

Memorias del Black Hat USA 2009

27 julio 2009 4 Comentarios

Se ha liberado la documentación oficial del Blackhat USA, una de las conferencia de más importantes a nivel mundial, a continuación les dejo los contenidos expuestos en estas conferencias:

bhusa09webdoc Memorias del Black Hat USA 2009 = Paper

bhusa09webdeck Memorias del Black Hat USA 2009 = Diapositivas de la presentacion

bhusa09webvideo Memorias del Black Hat USA 2009 = Video Presentacion

Memorias del Black Hat USA 2009 = Codigo Fuente

Leer más…

Documentacion, Eventos en seguridad
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Entradas Anteriores