Javascript ofuscado ¿Qué hacemos?
Nov17

Javascript ofuscado ¿Qué hacemos?

En la última charla que di en la HighSecCon II siempre comento lo complicado que resulta a veces analizar según que datos en según que escenarios. Una de las cosas que son complicadas es analizar el código ofuscado de las inyecciones de troyano, o el código ofuscado de un kit de explotación o de un simple HTML que te haga un redirect hacia otra página etc… Mi amigo @NaxoneZ me ha echo forward de un mensaje que le ha llegado por LinkedIn. El mensaje solo contenía una URL por lo que ya parece sospechoso, sospechoso. Esta era el mensaje de LinkedIn: El mensaje de LinkedIn es legítimo, lo único que la URL pues, evidentemente se tratará de algo malo, nadie suele enviar solo URL’s jajaja. Antes de nada, vamos a comprobar que el HTML de esa página sigue activo. Con un curl, podremos comprobar el estado: darkmac:pruebas marc$ curl -I http://www.portaldj.vsi.ru/spited.html HTTP/1.1 200 OK Date: Sun, 17 Nov 2013 21:50:06 GMT Server: Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/4.4.9 Last-Modified: Tue, 05 Nov 2013 23:15:51 GMT ETag: “51efb-204-4ea7636b2a147” Accept-Ranges: bytes Content-Length: 516 Content-Type: text/html Como veis arroja un 200!! Ahora lo que podemos hacer es descargar el HTML para ver el contenido antes de acceder siempre desde una sandbox por supuesto. Descargamos el HTML con un wget, por ejemplo y abrimos el HTML con nuestro editor favorito: Como veis, no hay quien entienda lo que hace ese código, además de que no está nada identado, por lo tanto tampoco se le puede seguir la lógica, lo primero que se podría hacer es tratar de identar el código. Una buena herramienta que nos puede ayudar a eso es JSBeautifer, copiamos el código y lo pegamos en la web de JsBeautifer para que quede bien puesto: Queda un poco mas legible, vamos a colocarlo en nuestro editor favorito: Es un buen momento para señalar que, aunque hemos usado JsBeautifer para identar el código, no significa que a priori sepamos lo que hace realmente el malware. Vamos a acabar aquí ahora, en la segunda parte veremos mas...

Leer Más

¿Cómo aprender a programar en JavaScript?

Gracias al cyberhades me entero de un curso en vídeo que esta realizando la pagina LifeHacker, para aprender a programar en JavaScript. El curso de momento tiene 4 entregas, cada una de ellas consta de un vídeo y un articulo con material de apoyo para el vídeo, esta en ingles pero es bastante practico y fácil de seguir. Si estas interesad@ en aprender JavaScript, no puedes dejar de ver estos recursos que LifeHacker deja para ti sin ningún costo: Clase 1 – Variables y tipos de datos básicos Clase 2 – Trabajando con variables Clase 3 – Arreglos y declaraciones lógicas Clase 4 – Entendiendo las funciones y creando un juego de preguntas Epilogo – Mejores practicas y recursos adicionales Hace mucho que JavaScript dejo de ser ese lenguaje que todos conocimos con animaciones de ventanas y simples validaciones de cara al cliente, para convertirse en un poderoso lenguaje con el que es posible ahora escribir programas en red escalables, aumentar su poder con librerías y frameworks, por lo tanto es muy recomendable aprenderlo si deseas seguir tu camino por el mundo de la seguridad, en especial de la seguridad...

Leer Más

X Campo – Generador de payloads XSS

XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas: De momento los payloads con los que cuenta la herramienta son: Fake login: Genera un div sobre el resto de la pagina con un campo de login falso. Los datos se envían al sitio web que nosotros queramos y ya ahí somos responsables de hacer lo que queramos con el usuario. hax0r defacement: Intenta poner un div sobre toda la pagina, incluir un texto e incluso reproducir una cancion. Form redirection: Muy útil en ataques XSS que se encuentran en las paginas de login. Cambia el evento action de todos los forms a la dirección que le digamos. Ademas elimina cualquier tipo de Javascript de validación que existiera, por si acaso! Password managers: La idea es, haciendo uso de Javascript, robar la informacion que los navegadores autocompletan cuando hemos guardado el usuario y contraseña en una pagina. Por ahora solo esta implementado el de Internet Explorer, pero el de Firefox no seria dificil de hacer. Session cookies: Lo mas típico! Podemos enviar las cookies de un navegador hacia el dominio que queramos. Ademas existen tres maneras de hacerlo: iframe img pop-up Aunque es un proyecto joven, promete ser una buena herramienta para enviar el típico alert(hola);, si deseas utilizar el X Campo, puedes hacerlo online entrando a esta url (no es la ultima versión) o descargar el código fuente desde Google Code y montarlo en tu propio sistema (la ultima versión). Mas Información: Pagina Oficial del...

Leer Más

Vulnerabilidad de XSS en mas de 8 Millones de Sitios con Flash

Una de las aplicaciones mas comunes utilizadas en los sitios web,  son las películas y clics hechos en Adobe Flash (antes de Macromedia),  animaciones, slideshows  y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web. A pesar de ser una herramienta muy útil,  personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores,  la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online,  a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua. El fallo consiste en una vulnerabilidad de XSS (Cross-site scripting) la cual permite incrustar codigo Javascript y/o HTML, en algunas animaciones flash que no validan correctamente sus parámetros de entrada. Ejemplo del código vulnerable: Como se puede ver,  en el siguiente código actionscript, no se hace validación alguna a las variables obtenidas: getURL(_root.clickTAG, "_blank"); El codigo anterio podria ser explotado de la siguiente forma: http://sitiovulnreable/flash.swf?clickTAG=javascript:alert('comunidad dragonjar') Pero no es la única variable vulnerable a este tipo de vulnerabilidades XSS getURL(_root.url, "_blank"); Que puede ser explotada de la siguiente forma: http://sitiovulnreable/flash.swf?url=javascript:alert('comunidad dragonjar') Para ver el funcionamiento de este tipo de ataques, les dejo este flash en el portal del “Area Metropolitana del Valle de Aburrá”, donde podemos ver que con solo deja correr la animacion , nos ejecutara el alert en javascript que hemos incrustado de forma arbitraria en el archivo flash, por lo que podríamos realizar todo tipo de estafas y engaños utilizando el nombre de esta pagina del gobierno colombiano. Este problema que afecta millones de sitios en la red (lo cual podemos comprobar con una simple búsqueda en google  “filetype:swf  inurl:clicktag”), es aun mas grave si se tiene en cuenta que la mayoría de las personas que manejan Flash y en especial su lenguaje de programación ActionScript, son diseñadores o programadores que no tienen en cuenta la seguridad a la hora de realizar sus trabajos, una muestra de esto lo podemos ver en el periódico “El Heraldo” de Barranquilla que recomienda el uso de un código vulnerable para realizar la publicidad que se publica en su portal. Mas Información: XSS vulnerabilities in 8 millions flash files Serious web vuln found in 8 million Flash files...

Leer Más

Cursos Gratis de Diseño Web en el Sena Virtual

  El SENA (Servicio Nacional de Aprendizaje), en su página www.senavirtual.edu.co o su plataforma sena sofia plus está implementando nuevos cursos virtuales sobre diseño web, entre las temáticas encontramos lenguajes como HTML, PHP, CSS , JAVASCRIPT, ademas de cursos para manejar los programas mas populares para el diseño  Photoshop, Autocad, Corel Draw, Flash,  Solid Edge, Dreamweaver y FrontPage. Recordemos que al terminar los cursos en el sena virtual te dan un certificado del sena y entras automáticamente en la bolsa de empleo del SENA donde podrás ser llamado para trabajar en prestigiosas empresas del sector tecnológico del país. style=”display:inline-block;width:200px;height:90px” data-ad-client=”ca-pub-4317965851485746″ data-ad-slot=”9641379711″> El listado de cursos que puedes realizar en el senavirtual sobre diseño web: Programación de páginas Web con HTML y JAVASCRIPT Diseño Web con Macromedia Dreamweaver Mx Manejo de Adobe Photoshop Manejo de Herramientas Informáticas: Solid Edge Autocad 2D Autocad 3D Corel Draw – Utilización de herramientas de diseño Vectorial Corel Draw – Textos y Organización de Objetos Corel Draw – Transformación de Objetos y Efectos Especiales Desarrollo y publicación de sitios Web utilizando la herramienta Frontpage Diseño de Sitios Web, estrategias y usos de herramientas de diseño – Frontpage Flash – Animacion en 2D style=”display:inline-block;width:200px;height:90px” data-ad-client=”ca-pub-4317965851485746″ data-ad-slot=”9641379711″> Para acceder a estos cursos gratuitos del SENA solo tienes que entrar al enlace del sena...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES