Seguridad Web

StatusBar Spoofing... todos los navegadores vulnerables(Agosto2010).

LordRNA — Sat, 28 Aug 2010 06:05:38 GMT

StatusBar Spoofing Vi una nota sobre StatusBar Spoofing en la web de hkm en el que hablaba sobre una tecnica de StatusBar Spoofing funcional en los actuales navegadores. Segun investigue esta tecnica utiliza JavaScript para crear un link mediante el cual se puede enga�ar a los usuarios que utilizan la StatusBar para ver la integridad de los links que visitan y asi evitar una suplantacion de identidad (Spoofing). Para hacer posible esta suplantacion es necesario el uso de this.href. ...

Microsoft liber� librer�a web contra ataques XSS

R32 — Mon, 07 Jun 2010 22:16:40 GMT

Microsoft liber� una librer�a de protecci�n web de c�digo abierto (WPL) para ayudar a los desarrolladores a proteger sus sitios web contra ataques de c�digo de sitios cruzados (XSS) La WPL, que esta integrada dentro de conjunto de ensambladores .NET, se ofrece como una parte de las defensas en estrategias de seguridad y agrega una capa extra a cualquier validaci�n o puede usarse como una herramienta para codificaciones seguras. En esencia proporciona una lista de las funciones de codificaci�n ...

Analiza los enlaces de tu cuenta facebook con Norton Safe Web

Skapunky — Fri, 30 Apr 2010 22:13:08 GMT

Ya se ha comentado en casos anteriores los peligros que podemos encontrar como usuarios de facebook, sobre todo en enlaces que nos llegan en forma de mensaje privado o en el muro donde cualquier persona que tenemos agregada puede escribir. Muchas veces, se publican mensajes con enlaces a p�ginas de terceros donde seguramente tenga algo interesante para ver. Se han dado casos de enlaces maliciosos, ya sea para distribuir malware o para hacer phishing y para ello Symantec a elaborado una aplicaci�n ...

Buscando Honeypots en la red.

Skapunky — Tue, 09 Mar 2010 20:25:02 GMT

Para quien todav�a no sepa lo que es un honypot, es un sistema web preparado para atraer a atacantes con el fin de recopilar informaci�n sobre el atacante, sobre las tendencias de ataque o simplemente para hacerle perder el tiempo. El buscador de google es una buena herramienta para buscar honeypots, solamente hace falta un poco de gracia e intentar hacer una buena b�squeda con palabras que puedan contener un archivo interesante para un atacante, el mas sencillo seria por ejemplo pass.txt. ...

Sistema de valoraci�n de p�ginas Web - WOT

R32 — Wed, 10 Feb 2010 14:27:29 GMT

WOT es un complemento/pluggin para el navegador bastante eficaz para los usuarios que no se manejan mucho por Internet. Funciona de manera que cada usuario que tiene instalado el pluggin puede realizar una valoraci�n sobre las p�ginas Web que visita, alertando a toda su comunidad si existe alguna p�gina con c�gigo malicioso, robo de datos, etc. Crea un filtro de advertencia al usuario al visitar un enlace marcado como peligroso, de forma que para entrar al sitio tienes que confirmar en ...

C�mo evitar Inyecciones SQL en nuestro sitio [By WHK]

invisible_hack — Tue, 03 Nov 2009 18:11:10 GMT

Para poder evitar una inyecci�n SQL desde MySQL necesitas tener un par de cosas en claro, no es nada del otro mundo. Para comenzar en una query donde ingresamos valores de tipo string siempre se deben ingresar encerradas en comillas simples y los valores num�ricos con (int) de la siguiente forma: C�digo:

Como Navegar Anonimamente

Roy-Mustang — Mon, 09 Nov 2009 04:45:24 GMT

Como a veces cuando navegamos y no queremos que nos encuentren tan Facil Existe una forma de Hacerlo y es muy sencilla Comencemos Herramientas a Utilizar: TOR Mozilla FireFox primero necesitamos vidalia (TOR) y lo descargamos de aca--> Descargar Ya una vez descargada la instalamos y nos quedara algo como esto.. Si todo va bien hasta aqu� ahora descargamos este plugin para firefox... https://addons.mozilla.org/es-ES/firefox/addon/2275 Lo ...

C�mo evitar XSS en nuestro sitio [By WHK]

invisible_hack — Tue, 03 Nov 2009 18:17:23 GMT

El Coss Site Scripting es una falla de programaci�n que puede causar la molestia del usuario o comprometer el servidor completo con base de datos, dns y todo. Por ejemplo si tenemos esto: C�digo:

Backdoor Nativo en SMF 2.0 [By WHK & SDC]

invisible_hack — Fri, 30 Oct 2009 15:26:54 GMT

Bueno, desde hace ya algunas semanas, dos Moderadores del foro Elhacker.net, concretamente WHK y Sirdarckat (conocido como Sdc), empezaron a desarrollar un nuevo proyecto, una auditoria sobre SMF, lo que viene a significar que se han puesto a inspeccionar lo que es todo el c�digo de todos los archivos que componen el sistema de SMF a fondo, para encontrar posibles fallos, errores, etc, y comunicarselo a los responsables en SimpleMachines... Y pues hoy navegando por la secci�n me he encontrado ...

[PDF] Ataques DDOS: Qu� son, como hacer frente a ellos...etc

invisible_hack — Mon, 26 Oct 2009 19:03:38 GMT

Bueno, mi contribuci�n de hoy, les dejo un PowerPoint sobre ataques DDOS, bastante bien explicado, bien documentado y tal... Yo no lo he creado, lo encontr� por otra web y aqu� os lo traigo. Para que no haya problemas con los derechos de autor y bla bla bla pues...la web de donde lo saqu�: http://studies.ac.upc.edu Aqu� os dejo el archivo, aunque no pone ni qui�n es su autor... Descargar PowerPoint ataques DDOS Un saludo

XSS en Google Talk 1.0.0.105 [By WHK] [18/10/09]

invisible_hack — Thu, 22 Oct 2009 16:02:47 GMT

Bueno, comenz� a probar en una virtual de gtalk a gtalk y me encontr� con dos xss. Por ejemplo cuando uno escribe un enlace http://

test se ejecuta inmediatamente ya que el en�o del string dentro de un href no se filtra y eso significa que un xss puede alojarse en el nombre de la url y el otro en la url misma como c�digo html. Cuando escribimos http://

test en realidad se imprime esto: http://
test y como se utilizan ...

Cross site scripting e inyecci�n SQL en PhpMyAdmin 2.x y 3.x

gerard — Wed, 21 Oct 2009 13:47:19 GMT

Existen dos vulnerabilidades en phpMyAdmin que permiten inyectar c�digo SQL y realizar ataques Cross site scripting (XSS). PhpMyAdmin es una popular herramienta escrita en PHP de administraci�n de MySQL a trav�s de un navegador. Este software permite crear y eliminar bases de datos, crear, eliminar y alterar tablas, borrar, editar y a�adir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL. Adem�s est� ...

SQL Inyections en SMF 1.10 Y RC 1.2 [By WHK]

invisible_hack — Fri, 09 Oct 2009 14:55:10 GMT

Inyecci�n SQL remota I Como dicen, el problema est� entre el asiento y el teclado, basta con dar un vistazo al archivo Sources/ManageMembers.php linea 405 y 453: C�digo: // If the query information was already packed in the URL, decode it. // !!! Change this. elseif ($context['sub_action'] == 'query') $where = base64_decode(strtr($_REQUEST['params'], array(' ' => ...

Bug en wordpress 2.8.3 permite resetear el password del administrador

Skapunky — Thu, 10 Sep 2009 23:19:01 GMT

Todos aquellos que utilizen un blog en su propio hosting, deber�an revisar si su blog es vulnerable al siguiente bug donde cualquier persona mediante una sencilla inyecci�n de codigo puede resetear el password de administrador de cualquier blog de wordpress versi�n 2.8.3. La inyecci�n se puede realizar mediante los siguientes dos enlaces, donde se consigue llegar a la p�gina donde se ind�ca el email para enviar la nueva contrase�a. Por suerte solo ser� v�lido el email registrado por el administrador, ...

Tutorial vulnerabilidad XSS [By Neohex]

invisible_hack — Wed, 02 Sep 2009 21:23:23 GMT

Bueno pues voy ha hacer una peque�a introducci�n a los ataques XSS, el caso que voy a poner es el de una web que utilize cookies y tenga un buscador(el t�pico buscador que tiene una caja de texto y un bot�n). decir que para una facil compresi�n de este mini-tutorial es mejor tener unos conocimientos b�sicos sobre html. [~]Lo primero es hacer una peque�a introduccion sobre que es una cookie: Una cookie es un almacen de informacion que se guarda en el ordenador del usuario y en cualkier ...