Archivos de Etiquetas: Vulnerabilidad

Hacking de Redes UPnP – Parte III

4 febrero 2009 3 Comentarios

upnprq2 Hacking de Redes UPnP Parte III

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Continúa desde “Hacking de Redes UPnP – Parte II

Una Introducción a Miranda

Miranda es una herramienta de administración de escrita en Python. Lleva consigo una línea de comandos que soporta autocompletado e historial de comandos, y provee la habilidad de guardar tu trabajo en un archivo que puede ser recargado para su posterior análisis. También puedes alterar las configuraciones del programa sobre la marcha, y registrar todos tus comandos en un archivo log, de manera que puedas saber exactamente lo que ejecutaste y cuando lo ejecutaste. Leer más…

Artículos sobre seguridad
, , , , , , , , , ,

Hacking de Redes UPnP – Parte II

27 enero 2009 2 Comentarios

upnprq2 Hacking de Redes UPnP Parte II

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Continúa desde “Hacking de Redes UPnP – Parte I

Una general sobre el protocolo

EL protocolo UPnP usa la dirección mulicast (multidifusión) 239.255.255.250 y el puerto TCP 1900. Los dispositivos que ofrecen servicios UPnP periódicamente enviarán mensajes SSDP NOTIFIY a 239:255:255:250:1900, anunciándose a cualquier cliente UPnP que en este en escucha. Si observas el tráfico en tu LAN que use un con los servicios UPnP activos, notarás que éste envía una ráfaga de mensajes SSDP NOTIFY cada pocos segundos; esto ocurre porque la mayoría de los en realidad se anuncian como multiples dispositivos UPnP, y envían una notificación por cada tipo de dispositivo. Leer más…

Artículos sobre seguridad
, , , , , , , , , ,

Hacking de Redes UPnP – Parte I

22 enero 2009 2 Comentarios

upnprq2 Hacking de Redes UPnP Parte I

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

(Universal Plug-N-Play) es un protocolo que permite que varios dispositivos de red se autoconfiguren por si mismos. Uno de los usos mas comunes de este protocolo es permitir que dispositivos o programas abran puertos en tu casero con el objetivo de comunicarse apropiadamente con el mundo exterior (El Xbox, por ejemplo, lo hace). El protocolo UPnP está basado en protocolos y especificaciones pre-existentes, más precisamente en UDP, SSDP, SOAP y XML.

Este artículo tratará sobre algunos problemas de relacionados con UPnP, brevemente describe el funcionamiento interior del protocolo, y muestra como identificar y analizar los dispositivos UPnP en una red usando herramientas open source. En el artículo nos enfocaremos en IGDs ( Gateway Devices ó Dispositivos de pasarela a , por ejemplo, ), pero es importante recordar que hay muchos otros dispositivos y sistemas que soportan UPnP también, y pueden ser vulnerables a ataques similares. Leer más…

Artículos sobre seguridad
, , , , , , , , , ,

Bloquear telefonos celulares Nokia con un SMS

13 enero 2009 17 Comentarios

curseofsilenceed3 Bloquear telefonos celulares Nokia con un SMS

En l último congreso CCC () se ha publicado una vulnerabilidad que afecta Teléfonos Móviles de la empresa finlandesa que permite dejar un teléfono celular sin poder recibir o enviar (mensajes de ) o MMS (mensajes multimedia).

El consiste en enviar un mensaje de texto con un formato específico a un celular que utilice el Sistema Operativo S60, usado por la mayoría de Nokia, algunos Panasonic y Samsung. Leer más…

Seguridad móvil
, , , , , , , , , , ,

Webcast sobre Seguridad en Mac OS X

10 enero 2009 2 Comentarios

applechainsnd5 Webcast sobre Seguridad en Mac OS X

A medida que el sistema operativo de gana popularidad, también se convierte en un objetivo más llamativo para atacantes. El creciente interés en este sistema se refleja en un mayor número de vulnerabilidades y amenazas hacia el.

No te pierdas este dictado por los investigadores Tiller Beauchamp, Jesse D’Aguanno y moderado por el fundador de Jeff Moss en el que se debatirán varios aspectos de la en OS X.

Dia: Jueves 15 de Enero de2009
Hora: 4:00 pm ET/1:00 pm PT
Duracion: 60 minutos

Para asistir deberas estar registrado en este enlace e ingresar tu correo el dia del evento.

Eventos en seguridad
, , , , , ,

WordPress 2.6.3 vulnerable a Cross Site Scripting

8 enero 2009 1 Comentario

xssvb6 WordPress 2.6.3 vulnerable a Cross Site Scripting

Gracias a blogsecurity y a ayudawordpress me entero de una descubierta por Jeremias Reith en 2.6.3  que podría permitir a un atacante sin identificar acceder a tu blog.

El fallo se encuentra en la funcion “self_link() “del  archivo “wp-includes/feed.php” que al no validar correctamente los parametros de entrada permite realizar un ataque con el que se pueden acceder a las cookies del usuario y obtener privilegios de . Leer más…

Noticias Seguridad
, , , , ,

Actualiza a WordPress 2.6.5

25 noviembre 2008 0 Comentarios

Mientras todos esperamos la versión 2.7 de , acaban de lanzar 2.6.5que corrige algunas correcciones de , recomendada su actualización:

  • Protección para un problema muy difícil de explotar (#8291).
  • Solución de un problema XSS con los feeds Atom y RSS en algunas configuraciones de hosting ([9754], [9770]).
  • Se ha añadido una comprobación para el post_type correcto en blogger.editPost y blogger.deletePost (#8267).
  • Actualizaciones de update_post_meta() y delete_post_meta() para asegurar que funcionan correctamente con las revisiones de posts (#7925).

La lista completa de los cambios la encuentras en este enlace, como siempre puedes realizar una actualización completa a WordPress 2.6.5 (descargando todo el sistema y reemplazando) o simplemente puedes bajar este paquete con las modificaciones de la version 2.6.3 a la 2.6.5 y listo.

Los archivos modificados fueron:

  • xmlrpc.php
  • wp-admin\users.php
  • wp-includes\feed.php
  • wp-includes\post.php
  • wp-includes\version.php

Todavía no se anuncia desde el panel de WordPress pero seguro pronto saldrá el aviso, se saltó la v2.6.4 para evitar confunsiones con el falso wordpress que estaba rodando por .

Descargar archivos modificados de la versión 2.6.3 a la 2.6.5
Descargar la versión 2.6.5 de WordPress
directorio SEO

Noticias Software, Seguridad Web
, ,

Actualiza a WordPress 2.6.3

24 octubre 2008 8 Comentarios

Se ha detectado un error grave en la librería Snoopy utilizada por y otros CMS que permite la remota de comandos shell usando la funcion exec() de php .

Es recomendable la actualización inmediata de tu instalación de WordPress, como siempre tienes 2 opciones hacer una reinstalación completa, o reemplazar los archivos 3 que modificaron de la versión 2.6.2 a la 2.6.3.

Los archivos modificados en esta versión fueron.

wp-admin\includes\media.php
wp-includes\class-snoopy.php
wp-includes\version.php

Descargar la versión 2.6.3 de WordPress
Descargar archivos modificados de la versión 2.6.2 a la 2.6.3

Seguridad Web
,

Microsoft Publica parche que corrige Vulnerabilidad “Critica”

23 octubre 2008 2 Comentarios

acaba de publicar un que corrige una que cataloga como “critica” y afecta todos los sistemas (desde 2000 a , pasando por , 2003, 2008 e incluso el futuro Windows 7 aun en pruebas).

bugbr9 Microsoft Publica parche que corrige Vulnerabilidad Critica

El alcance del fallo depende del sabor de Windows que utilice el sistema atacado, Los mas afectados son los Sistemas Windows 2000, XP y 2003 ya que esta vulnerabilidad proporciona el control total de forma remota  al sistema víctima a través de los recursos compartidos, facilitando la de código malicioso y todo esto sin necesidad autenticación ni participación alguna por parte del usuario de la máquina atacada, lo que  deja el terreno abonado para que un gusano automatice el ataque y cause grandes daños. Leer más…

Noticias Seguridad
, , , , , , , , , ,
Entradas Siguientes
Entradas Anteriores