El rincón de Zerial

Sin duda el phishing es una de las técnicas más usadas actualmente para el robo de información y suplantación de identidad, pero debemos reconocer que es todo un arte. Para quienes no saben lo que es el phishing, les extraigo lo siguiente desde la wikipedia:
Phishing es un término informático que denomina un tipo de delito [...]

[Leer Más →]

Hay dos técnicas para atacar un objetivo desde “el corazón”, una es ingresando remotamente a alguno de los servidores mediante algún servicio o alguna vulnerabilidad en el sitio web y la segunda, es ingresando directamente a la red de área local o LAN. Existen muchas vulnerabilidades conocidas y comunes que nos permiten ingresar a lugares [...]

[Leer Más →]

Hace unos días recibí un correo preguntandome cómo acceder -remotamente- a un servidor de base de datos que sólo acepta conexiones desde localhost, sin tener phpMy/PgAdmin ni acceso “directo” (ssh) al servidor. Responderé publicamente la pregunta.

La respuesta a primera vista sería “Es imposible, ya que sólo tiene permitido ingresar desde localhost y, generalmente, el puerto no [...]

[Leer Más →]

Estamos en el año 2009 y es increible que existiendo tantas herramientas de auditoría y el peligro/riesgo que existe por el mal tratamiento de la información, los desarrolladores esten cayendo en errores tan básicos.
Voy a listar las vulnerabilidades que, según mi experiencia, son las más comunes en los sitios web.

File/Path Disclosure: Esta vulnerabilidad es más [...]

[Leer Más →]

Al igual que en el post anterior, que hablaba sobre la vulnerabilidad en uno de los sitios de la Universidad de Chile, esta vez es el turno de la Universidad Catolica de Valparaiso (UCV), especificamente el campus virtual.
Al parecer el sitio estaba en mantenimiento ya que me encontre con varios mensajes que del tipo “Este [...]

[Leer Más →]

Se trata del sitio de la biblioteca virtual de la Facultad de Economia y Negocios (FEN) de la Universidad de Chile. Hace un par de dias descubri una vulnerabilidad del tipo path disclosure en http://bibliodoc.fen.uchile.cl.
La forma de explotar este fallo era iniciar sesion con cualquier usuario y buscar algun documento, cuando acercabamos el mouse hacia [...]

[Leer Más →]

Este es un resumen de los distintos scripts y utilidades que he publicado en mi blog, con una breve descripcion y link de descarga.

dirhack:  Script escrito en bash que nos ayudará al momento de querer hacer auditorias en nuestro servidor web con multiples usuarios. El script buscara en los directorios especificados los ficheros con información [...]

[Leer Más →]

El Viernes pasado se anunciaron, en la lista de seguridad de debian, actualizaciones para el kernel, que solucionaba varias vulnerabilidades.

CVE-2009-0028

Chris Evans discovered a situation in which a child process can
send an arbitrary signal to its parent.

CVE-2009-0834

Roland McGrath discovered an issue on amd64 kernels [...]

[Leer Más →]

Sensor Mouse es un proyecto que nos permite monitorear el estado de las puertas y ventanas mediante algun dispositivo conectado a un computador (generalmente mouse).
Ya escribi sobre este proyecto hace un par de meses, pero la informacion de como hacerlo ya no esta accesible, asi que publicare el articulo completo.
Materiales:
En este caso utilizaremos un Mouse [...]

[Leer Más →]