Gracias al cyberhades me entero de un curso en vídeo que esta realizando la pagina LifeHacker, para aprender a programar en JavaScript.

El curso de momento tiene 4 entregas, cada una de ellas consta de un vídeo y un articulo con material de apoyo para el vídeo, esta en ingles pero es bastante practico y fácil de seguir.

Si estas interesad@ en aprender JavaScript, no puedes dejar de ver estos recursos que LifeHacker deja para ti sin ningún costo:

Clase 1 – Variables y tipos de datos básicos

Clase 2 – Trabajando con variables

Clase 3 – Arreglos y declaraciones lógicas

Clase 4 – Entendiendo las funciones y creando un juego de preguntas

Epilogo – Mejores practicas y recursos adicionales

Hace mucho que JavaScript dejo de ser ese lenguaje que todos conocimos con animaciones de ventanas y simples validaciones de cara al cliente, para convertirse en un poderoso lenguaje con el que es posible ahora escribir programas en red escalables, aumentar su poder con librerías y frameworks, por lo tanto es muy recomendable aprenderlo si deseas seguir tu camino por el mundo de la seguridad, en especial de la seguridad web.

También puede interesarte...

• Cursos Gratis de Diseño Web en el Sena Virtual
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Cupos disponibles en el SENA
• Taxonomía de un Ataque con Backtrack 4
• Curso de Dibujo Vectorial con OpenOffice Draw
• Curso Gratis de Joomla
• Curso de Ubuntu
• Curso en el Sena Virtual sobre Auditoria en Seguridad

XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas:

De momento los payloads con los que cuenta la herramienta son:

• Fake login: Genera un div sobre el resto de la pagina con un campo de login falso. Los datos se envían al sitio web que nosotros queramos y ya ahí somos responsables de hacer lo que queramos con el usuario.
• hax0r defacement: Intenta poner un div sobre toda la pagina, incluir un texto e incluso reproducir una cancion.
• Form redirection: Muy útil en ataques XSS que se encuentran en las paginas de login. Cambia el evento action de todos los forms a la dirección que le digamos. Ademas elimina cualquier tipo de Javascript de validación que existiera, por si acaso!
• Password managers: La idea es, haciendo uso de Javascript, robar la informacion que los navegadores autocompletan cuando hemos guardado el usuario y contraseña en una pagina. Por ahora solo esta implementado el de Internet Explorer, pero el de Firefox no seria dificil de hacer.
• Session cookies: Lo mas típico! Podemos enviar las cookies de un navegador hacia el dominio que queramos. Ademas existen tres maneras de hacerlo:
  • iframe
  • img
  • pop-up

Aunque es un proyecto joven, promete ser una buena herramienta para enviar el típico alert(hola);, si deseas utilizar el X Campo, puedes hacerlo online entrando a esta url (no es la ultima versión) o descargar el código fuente desde Google Code y montarlo en tu propio sistema (la ultima versión).

Mas Información:
Pagina Oficial del XCampo

También puede interesarte...

• ¿Cómo aprender a programar en JavaScript?
• Mastercard y Microsoft me premiaron!!
• Me gané 2 Millones de Dolares!!
• Recupera informacion de un CD o DVD rayado
• Pueden leer tu “Basura”
• Bits y Qubits, El camino de la criptografía – Parte I
• Como realizar un borrado seguro usando BleachBit
• Video: Ataque de envenenamiento de cookies (Cookie-Poisoning)

A pesar de ser una herramienta muy útil,  personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores,  la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online,  a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua.

El fallo consiste en una vulnerabilidad de XSS (Cross-site scripting) la cual permite incrustar codigo Javascript y/o HTML, en algunas animaciones flash que no validan correctamente sus parámetros de entrada.

Ejemplo del código vulnerable:

Como se puede ver,  en el siguiente código actionscript, no se hace validación alguna a las variables obtenidas:

getURL(_root.clickTAG, "_blank");

El codigo anterio podria ser explotado de la siguiente forma:

http://sitiovulnreable/flash.swf?clickTAG=javascript:alert('comunidad dragonjar')

Pero no es la única variable vulnerable a este tipo de vulnerabilidades XSS

getURL(_root.url, "_blank");

Que puede ser explotada de la siguiente forma:

http://sitiovulnreable/flash.swf?url=javascript:alert('comunidad dragonjar')

Para ver el funcionamiento de este tipo de ataques, les dejo este flash en el portal del “Area Metropolitana del Valle de Aburrá”, donde podemos ver que con solo deja correr la animacion , nos ejecutara el alert en javascript que hemos incrustado de forma arbitraria en el archivo flash, por lo que podríamos realizar todo tipo de estafas y engaños utilizando el nombre de esta pagina del gobierno colombiano.

Este problema que afecta millones de sitios en la red (lo cual podemos comprobar con una simple búsqueda en google  ”filetype:swf  inurl:clicktag”), es aun mas grave si se tiene en cuenta que la mayoría de las personas que manejan Flash y en especial su lenguaje de programación ActionScript, son diseñadores o programadores que no tienen en cuenta la seguridad a la hora de realizar sus trabajos, una muestra de esto lo podemos ver en el periódico ”El Heraldo” de Barranquilla que recomienda el uso de un código vulnerable para realizar la publicidad que se publica en su portal.

Mas Información:
XSS vulnerabilities in 8 millions flash files
Serious web vuln found in 8 million Flash files XSS

También puede interesarte...

• Presentación de conceptos básicos en Seguridad Web
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• Curso sobre desarrollo seguro de aplicaciones web por Google
• Multiples Vulnerabilidades en SMF
• Cursos Gratis de Diseño Web en el Sena Virtual
• Revisa la seguridad de tu sitio web Gratis
• Soporte para Flash y JAVA en el iPhone / iPod Touch
• TOP 10 Fallos de Seguridad en Aplicaciones Web

El SENA (Servicio Nacional de Aprendizaje), en su página www.senavirtual.edu.co o su plataforma sena sofia plus está implementando nuevos cursos virtuales sobre diseño web, entre las temáticas encontramos lenguajes como HTML, PHP, CSS , JAVASCRIPT, ademas de cursos para manejar los programas mas populares para el diseño  Photoshop, Autocad, Corel Draw, Flash,  Solid Edge, Dreamweaver y FrontPage.

Recordemos que al terminar los cursos en el sena virtual te dan un certificado del sena y entras automáticamente en la bolsa de empleo del SENA donde podrás ser llamado para trabajar en prestigiosas empresas del sector tecnológico del país.

El listado de cursos que puedes realizar en el senavirtual sobre diseño web:

Programación de páginas Web con HTML y JAVASCRIPT
Diseño Web con Macromedia Dreamweaver Mx
Manejo de Adobe Photoshop
Manejo de Herramientas Informáticas: Solid Edge
Autocad 2D
Autocad 3D
Corel Draw – Utilización de herramientas de diseño Vectorial
Corel Draw – Textos y Organización de Objetos
Corel Draw – Transformación de Objetos y Efectos Especiales
Desarrollo y publicación de sitios Web utilizando la herramienta Frontpage
Diseño de Sitios Web, estrategias y usos de herramientas de diseño – Frontpage
Flash – Animacion en 2D

Para acceder a estos cursos gratuitos del SENA solo tienes que entrar al enlace del sena virtual.

También puede interesarte...

• Cupos disponibles en el SENA
• www.senavirtual.edu.co – Cursos virtuales GRATIS en el Sena
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Curso en el Sena Virtual sobre Auditoria en Seguridad
• cursos de programacion gratuitos en el sena virtual
• Curso Gratuito de Ingles con el Sena Virtual
• Sena Virtual Cursos Gratis de Informática
• SENA Sofia Plus

Citaré 2 noticias sobre vulnerabilidades en las cuales NoScript ha podido evitar que nos veamos afectados.

La primera noticia, una vulnerabilidad descubierta por Giorgio Maone (creador de NoScript) la cual permite la creación de popups que cubran toda la pantalla sin la posibilidad de poderse cerrar.

Este fallo puede ser utilizado para phising, malware, spyware, etc… ya que se puede engañar al usuario con un pantallazo falso dando la sensación que se está en el escritorio real o en el navegador, cuando en realidad se encuentra en una popup.

Giorgio ha publicado varias pruebas de concepto que les enseñare a continuación

• La primera prueba hace uso de LiveConnect y requiere unas pocas líneas de Javascript, pero sólo funciona en Opera y navegadores basados en el motor Gecko (como Firefox).
• La segunda prueba es puro Java y funciona en todos los navegadores (Explorer, Opera, Firefox, Safari…)

En ambos casos el resultado es preocupante.

Aunque sin duda los usuarios avanzados encontrarán formas de cerrar la ventana en su sistema, podemos imaginar la repercusión de una explotación de este fallo en millones de usuarios menos enterados.

El segundo fallo del cual les comento ha sido discutido ampliamente en Kriptopolis (Parte 1, Parte 2) y consiste en una vulnerabilidad del Mozilla Firefox y la forma en que valida los archivos JAR que son utilizados internamente por este navegador para acceder a recursos incluidos en ficheros comprimidos. (leer toda la noticia)

Aqui otra noticia en la cual NoScript pasa a ser el Heroe

Espero que después de esto instalen el NoScript, se que es un poco molesto al principio pero piensa que te está protegiendo

Instalar NoScript para Mozilla Firefox

También puede interesarte...

• Descarga Firefox 5 Estable
• Las mejores extensiones de Firefox para mejorar tu seguridad
• Forzando Conexiones SSL por defecto v2
• Infección Virus a través de Redes Sociales
• Divide las ventanas de tu Firefox con Split Browser
• Control Paternal en Mozilla Firefox
• Encripta tus correos de Gmail con FireGPG
• Revista Electrónica El Derecho Informático 9