Saber como “hashea” las password el cms Joomla! no es algo muy complicado, no tiene ninguna ciencia y es muy facil de entender para intentar crackear algun password obtenido de alguna base de datos. El hash en la base de datos tiene la forma de “HASH:SALT” y la forma en que genera el HASH es [...]
Entradas etiquetadas como 'Seguridad'
Joomla! Password Cracker
Mayo 19th, 2011 · 3 Comentarios
Etiquetas: Hacking · Programación · Seguridad · Tips
Información sensible en el source html de Movistar Cloud
Mayo 19th, 2011 · 3 Comentarios
Movistar Cloud es un servicio de “disco virtual”, que permite a sus usuarios almacenar información “en la nube” para poder acceder a ellos desde cualquier lugar, algo asi como Dropbox. Si accedemos al sitio y vemos el codigo fuente, podemos ver que hay un tag que está comentado, corresponde a un link hacia la URL [...]
Etiquetas: Hacking · Seguridad
Arbitrary URL Redirection y XSS en sitio web del S.I.I
Mayo 10th, 2011 · 2 Comentarios
Con esta vulnerabilidad es posible robar información sensible y suplantar la identidad del usuario. Justo en la fecha de la devolución de impuestos aparece esta vulnerabilidad en el login del sistema. Permite redireccionar a un usuario, luego de logearse, a cualquier sitio e incluso permite el robo de cookies mediante ejecución arbitraria de javascript en [...]
Etiquetas: Hacking · Interes general · Seguridad · Sitios Vulnerables
El Phishing y el Banco Santander Chile
Mayo 4th, 2011 · 8 Comentarios
Hace unos meses reporté una vulnerabilidad XSS en la banca de personas del Banco Santander, la cual no ha sido corregida. Ahora, segun la campaña anunciada por parte de Secureless, retomaré este mismo bug y aprovecharé de reportar otros que hemos encontrado, además preparé unas pruebas de concepto para dejar en claro que podemos hacer [...]
Etiquetas: Hacking · Interes general · Privacidad · Seguridad · Sitios Vulnerables
XSS y CSRF en sitios web de Bancos: Ellos mismos facilitan el phishing
Mayo 2nd, 2011 · 4 Comentarios
Se está poniendo de moda el phishing y el robo de datos bancarios para realizar transferencias no deseadas, cada vez son mas los usuarios afectados y muchos de ellos no logran recuperar su dinero, simplemente el banco no responde. Por un lado tienen razón, ya que quien entregó su información personal y privada fueron ellos [...]
Etiquetas: Interes general · Proyectos · Seguridad · Sitios Vulnerables
Tip: Destrucción de archivos y datos en GNU/Linux
Mayo 1st, 2011 · 1 Comentario
Cuando digo “destrucción” de información no me refiero a simpemente eliminarla o purgarla del disco duro, sino a sobrescribirla y hacer imposible su restauración. Existen varias utilidades y formas de hacerlo, pero yo les mostraré tres utilidades/herramientas que nos ayudarán: dd, shred y wipe. La primera, nos ayudará a zero-izar un sector de nuestro disco [...]
Etiquetas: GNU/Linux · Seguridad · Tips
Multiple XSS+CSRF encontrados en sitio web de Movistar Chile
Abril 25th, 2011 · 2 Comentarios
Reportamos en Secureless una serie de vulnerabilidades XSS y CSRF que afectan al sitio web de Movistar y a sitios relacionados a la empresa. Los sitios afectados son: http://www.movistar.cl http://www.mcloud.cl http://www.188.cl Las vulnerabilidades detectadas nuevamente ponen en riesgo la seguridad del usuario aprovechandose de la confianza que existe desde el usuario hacia el sitio y [...]
Etiquetas: Hacking · Seguridad · Sitios Vulnerables
Secureless.org: Repositorio de vulnerabilidades web
Abril 25th, 2011 · 3 Comentarios
Como proyecto del hacklab, nace “Secureless“, un sitio web que busca centralizar y almacenar una base de datos de sitios web vulnerables con las tipicas vulnerabilidades como XSS, SQL-I, etc. Secureless nace simplemente de la necesidad de investigar y aprender aun mas sobre este tipo de vulnerabilidades y seguridad en la web. Aunque a muchos [...]
Etiquetas: Hacking · Interes general · Proyectos · Seguridad · Sitios Vulnerables
Vulnerabilidad en todos los routers Fiberhome HG-110 de Telefonica/Movistar
Abril 8th, 2011 · 21 Comentarios
En algunos paises, Telefonica/Movistar entrega a sus clientes un router FiberHome HG-110, uno blanco y con dos antenitas: Las vulnerabilidades que he encontrado son: Cross-Site Scripting: http://router.internal.ip:port/cgi-bin/webproc?getpage=%3Cscript%3Ealert%28this%29%3C/script%3E&var:menu=advanced&var:page=dns Local File Include and Directory/Path Traversal: http://router.internal.ip:port/cgi-bin/webproc?getpage=../../../../../../../../../../../../etc/passwd&var:menu=advanced&var:page=dns Para poder explotar estas vulnerabilidades no es necesario estar autenticado. Informacion del dispositivo: HardwareVersion : HG110_BH_R1A SoftwareVersion : HG110_BH_V1.6 Firmware Version [...]
