Web 2.0: Como mola! o no….

abril 23, 2008

LLevo un par de semanas jugando con tuenti (si la famosa red social española que esta pegando el boom con más de 2000 millones de páginas vistas al mes y más de no se ¿400.000 usuarios registrados?). En las noticias de media internet hablan de su éxito,  sus creadores hablan de la dificultad de encontrar “buenos programadores”.

Web 2.0

El otro día aburrido por la mañana me digo, venga vamos a hacerle solo un pequeño test a ver que saco. En dos segundo tenia más de un XSS en varios párametros. Bueno es una “beta privada” me dije (estaran usando el sistema de google? si ese de dejar en beta un producto no se ¿4 años? para justificar los posibles errores?) no se.. 
Bueno que más tarde me puse un poco más a fondo y dios mío… no quisiera ser el Lead Manager del producto.. XSS, CSRF, LFI (LFI, LFI joder!!)  como ya hice en otros varios casos y posteriormente fueron defaceados (recuerdan el deface a jazztel? les avise una semana antes de que tenian la puta SAM! al descubierto) me puse a escribirles amablemente un mail explicandole los errores y ofreciendome a ayudar, más de una semana despues sigo sin respuesta alguna y aun estan sin corregir.

Que si, que si, mucho AJAX, mucho CSS wapete, mucho pijerio pero a la hora de tirar código seguro….


Alcolea-Party 08

febrero 20, 2008

Este año como el anterior se celebra la Alcolea-Party 2008. En poco menos de tres semanas (7 de marzo al 10) dara comienzo el evento. Como el año pasado yo estare por allí y de nuevo organizare el II reto de hacking basado en una aplicación web y dare una conferencia para quien quiera oirla sobre esto de asegurar una aplicación web. Sin duda un buen evento 100% recomendable.

Sigo… vivo!

febrero 20, 2008

Pues basicamente eso.. que sigo vivo como se suele decir. ¿Por qué no he posteado este último medio año?.. buff demasiadas cosas me han pasado. En verano que si fiesta tras fiesta, además de estar el mes de Julio trabajo en Madrid con la gente de informática64 (que por cierto que pedazo de gente!) despues que si las recuperaciones, el inicio del nuevo curso, estudios y un largo etc.. bueno resumiendo que aquí estoy de nuevo y me tendreis un rato por aquí, no prometo actualizar a diario, pero si siempre que pueda y con material interesante =).

MPack

junio 22, 2007

Quien en estos días no ha oído hablar de esta herramienta que parece que procede del underground Ruso. Con Mpack se ha realizado en los últimos días un gran ataque vía web resultando comprometidos más de 10,000 sitios web. Italia esta en la cabeza de los países más afectados seguidos por España.

Se cree que los piratas lograron hacerse con el control de un servidor en el cual como he comentado se hospedaban más de 10,000 páginas y en ellos introducir el código malicioso. Este paquete es una joyita, te lo compras por un precio que ronda los 1,000 dolares y tienes soporte técnico por un año, se instala atraves de iFrames (como si de una vulnerabilidad en un Cpanel se tratara).

Utiliza una serie de Payloads, cuando un usuario legitimo visita una página este bicho lo redirecciona a otra en la cual esta el código malicioso, vamos que como cuando entra en tu casa una banda rusa, ni te enteras.

Aprovecha vulnerabilidades como la de Quicktime (reproductor de vídeo) la famosa .ANI (el puntero perdido) ataques de BoF en el conocido compresor WinZip y un rele de exploits que acojona.


Yo y mi firefox

junio 20, 2007

Quien me conoce sabe que uso firefox. Me da igual que el rollo ese de que sea libre, o no privativo, simplemente me encanta. Es como un lego, puedes ir añadiendo, complementándolo, agregando…

Sin duda lo que más me atrae son sus plugins, sin plugins firefox no me molaría. Para aquellos que os guste este temita de la seguridad os voy a pasar un par de plugins relacionados – no os voy a pasar uno por uno los enlaces de descarga, que para algo esta google :P -.

Live HTTP HEADERS (leer peticiones HTTP cliente / servidor)
Modify HEADERS (lee y modifica peticiones HTTP)
Cookie Editor (potente editor de cookies con algunas otras funciones más)
NoScript (cuida los JS, Flash, incluso Applet de java)
HackBar (muy útil, tienes espacio para modificar url´s de sobra, para los que tengan la mirada sucia :P)
CJs (consola JavaScript)

¿Cual usas tú?


Grandes amigos..

junio 19, 2007

Para aquellos que nos gusta esto de la seguridad hay un factor imprescindible: no puedes estar más de 2 días separado de la pantalla. Esto no para de crecer, cada minuto aparecen nuevos métodos de ataque, de infección, nuevos troyanos, técnicas de ataque a una aplicación web… es decir, como te tires un par de años fuera ni te molestes en volver, estarás obsoleto.

Gran problema se tubo que encontrar el mítico Mitnick cuando salio de la cárcel y esto no era algo más que hacer un FluBox. Hoy os voy a recomendar un par de sitios, grupos, listas de correo y foros para que no os perdáis nada.

Blogs (En español)
Blog Hispasec (unos genios en estos, actualizan poco, pero merece la pena la espera)
Elladodelmal (escrito por Chema Alonso MVP windows security y un cachondo mental :P)
48Bits (programación y de todo un poco)b
Buayacorp (genial blog, orientado a programación y todo tipo de ataques a aplicaciones web)
(Ingles)
Mcafe Avert Labs
Mcafee SiteAdvisor
Listas de Correo (Español)
Una-al-dia (de los creadores de Hispasec, lista que lleva desde el 99 informando de los últimos peligros)
Ingles
Bugtraq (si no te gusta tener correo no leído.. no te la recomiendo ya que envían una media de 15 correos al día)
Foros
Elhacker (simple, el mejor , lleno de gente muy buena y en español).

Saludos !


XSS gran amigo

junio 18, 2007

Últimamente estoy fascinado con este tipo de ataques, no paro de leer textos en idiomas anglosajones, bastante blogs que hablan sobre el tema, y es que este ataque ¡me fascina!.
Me llamaran exagerado pero yo diría que a cualquier web que se ponga por delante se le puede sacar varios Cross-Site-Scripting (sobre todo en aquellas aplicaciones web 2.0 que super molonas).

Y lo mejor .. como no , esos “programadores web”
- Yo ?
- Como voy a ser sensible a este tipo de ataques…
-Yo tengo desactivada cada entrada de JavaScript chabal, que te crees.

Ja,Ja,Ja….. Y en código ASCII :

%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%29%3C%2F%73%63%72%69%70%74%3E

Y si te la cuelo por aquí…

<IMG STYLE=”xss:expr/*XSS*/ession(alert(‘XSS’))”>

Todos los trucos y demás en aquí.


Hakin9 – Ataques SQL INJECTION

junio 18, 2007

Mi 3er articulo para la revista de seguridad informática Hakin9 (que la puedes encontrar en tu quiosco más próximo o encargarla vía web). Esta en la edición de Junio y así comienza…

INYECCIONES SQL

Por Jaime Gutiérrez Lucero

LO QUE VAS A APRENDER

- Que son las inyecciones sql
- Ser capaces de detectar su presencia

LO QUE DEBERIAS SABER

- Conocimientos basicos sobre programación web

Introducción

A la hora del desarrollo de una aplicación web, uno de los fallos más comunes que se pueden dar están relacionados con la programación de las bases de datos y su filtrado incorrecto de datos.

Comienza el texto

Las inyecciones sql , me atreveria decir que es el error más comun a la hora de programar una base de datos y su conexión junto con otros fallos (RFI, XSS,CSRF…).
En esta pequeña lectura voy a tratar dos puntos, teoria y vamos a analizar un código con el cual vamos a poderexplotar un web vulnerable (EXPLOIT) y además aprenderemos a movernos en esto de la SQL INJECTION…..

Qué es una inyección SQL

Que hay que decir sobre esta auténtica pesadilla que tanto desvela a los webmasters y creadores de aplicaciones web. Púes bien la inyección SQL es una vulnerabilidad en el nivel de base de datos de una aplicación. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o de script que esté incrustado dentro de otro.

Comprala o espera al próximo mes y lo publicare aquí.

De exámenes…


Lo importante de argumentar…

junio 10, 2007

Leyendo mi tira cómica diaria una muy buena… 15 millones de euros para el SL en Andalucía. Buenas noticias para todos, pero es lo que tiene tener de argumento – 2 y decir tales frases que producen risa como y cito:

Esta noticia es una alegría y, a la vez, un golpe bajo para los de Redmond, ya que cada vez, más instituciones prefieren la transparencia a la ocultación. Noticia

Efectivamente un golpe durísimo para aquellos de “Redmond” que tan solo generan la cantidad de 40,000 dólares al minuto. Esto es lo que ocurre cuando gente “que no tiene ni idea” (y me incluyo) defiende a los sistemas de tipo libre, con esos argumentos “es gratis” “es libre” “si lo usas vas al cielo, del contrario arderás en el infierno”.
Si ya sabemos que el SL es mejor, más rápido y seguro ¿Por qué cada vez que una empresa con más de 1,000 escritorios se muda a linux me lo tienen que publicar hasta en la sopa? Ains….


Ostia!

junio 5, 2007

Hoy como rutinariamente, he abierto mi página web favorita de “seguridad informática y privacidad” de la red. Y lo he flipado en colores, leyendo esta entrada me acabo de dar cuenta que no hay ninguna nota del autor diciendo “Si se usará linux esto no pasaria” WTF? así no hace tanta gracia… :(


Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.