El rincón de Zerial

Así es, pareciera ser que los errores de programación (bug) que dejan expuestos a los usuarios mediante vulnerabilidades Cross-Site Scripting (XSS) estan de moda, es increible ver la cantidad de sistemas de todo tipo que tienen este tipo de vulnerabilidad. Desde un simple sitio web de noticias hasta un sistema bancario. La unica explicación que [...]

[Leer Más →]

Hace un par de semanas reporté publicamente la existencia de una vulnerabilidad XSS y posible SQL Injection en el sitio web de SYM, http://www.sym.cl. Recibí una estupida respuesta por parte de una persona que se hace llamar “MadBox”, quien decia textualmente: el sitio de sym es vulnerable a todo a proposito y les encuentro razón [...]

[Leer Más →]

Como desarrollador y administrador de sistemas, he tenido varias experiencias y se como funciona esto de la asignación de contraseñas y de accesos por defecto, ya sea cuando el sistema lo usaran unas cuantas personas o varias. Me refiero tanto a los sitemas web como accesos por distintos servicios tales como ssh, ftp, correos electrónicos, [...]

[Leer Más →]

E-Sign (cl) corresponde a los representantes y/o partners de VeriSign, una reconocida marca de seguridad informática a nivel mundial y como tal, ofrecen servicios de seguridad informatica, certificados de seguridad, auditorias, etc. La empresa E-Sign ofrece el servicio de Anti Phishing y Consultoría de Seguridad, entre otros. Sin embargo, el sitio web de dicha empresa [...]

[Leer Más →]

En el hacklab estamos remodelando la infraestructura de red, en simples palabras lo que buscamos es mejorar la disponibilidad de internet y de los recursos que queremos ofrecer. Para esto hemos pensado junto a xwall en armar una estructura donde poder poner un pc y un par de antenas. El esquema de lo que tenemos [...]

[Leer Más →]

Cuando se logra vulnerar la seguridad de un sistema informático y obtenemos acceso al servidor tenemos varias formas de continuar el ataque, ya sea revisando los archivos del servidor buscando información interesante, controlar distintos servicios como el de base de datos o de correo, revisar la información de cada usuario de sistema, dejar una puerta [...]

[Leer Más →]

Hace un par de semanas pudimos ver el caso del Instituto Profesional CIISA, ahora es el turno de la Universidad Mayor. Alvaro Veliz me ha reportado el siguiente problema básico de seguridad en la plataforma de ingreso de alumnos. Esta plataforma llamada “Portal Estudiantil” dice ser una “Intranet solo disponible para alumnos regulares y egresados“, [...]

[Leer Más →]

De aburridos, junto con E.A.S (o xwall), nos dedicamos a buscar un sitio que brinde el servicio de series de en linea para encontrar la forma de tomar prestadas todas las series alojadas en el servidor. Imaginense algo como YouTube, pero tan vulnerable que fuese posible extraer todos los videos que hay en la red. [...]

[Leer Más →]

En mi nuevo lugar de trabajo, misteriosamente está bloqueado por el firewall, entre otras cosas, la salida al puerto 25 de cualquier servidor. Desde mi portatil uso el cliente de correo Thunderbird conectandose a distintas cuentas  de correo que tengo alojadas en Google Apps asi que no podía quedarme sin revisar mis cuentas de correo, [...]

[Leer Más →]