El rincón de Zerial

Sin duda el phishing es una de las técnicas más usadas actualmente para el robo de información y suplantación de identidad, pero debemos reconocer que es todo un arte. Para quienes no saben lo que es el phishing, les extraigo lo siguiente desde la wikipedia: Phishing es un término informático que denomina un tipo de [...]

[Leer Más →]

Los ataques por fuerza bruta a instalaciones WordPress son un tanto faciles, ya que es muy sencillo determinar los usuarios del sistema y no tiene sistemas de protección de Throttling Login Attempts o límite de intentos de ingreso, lo cual nos permite hacer éste tipo de ataques. Determinar los nombres de usuarios es tan sencillo [...]

[Leer Más →]

Como ya anuncié hace un rato, empezaré con el sitio http://marco2010.cl. Cuando comencé a escribir sobre éste sitio web, existía una vulnerabilidad de descubrimiento del path (Full Path Disclosure) junto a un SQL Injection y un XSS, dentro de un “plugin” hecho para las votaciones lo que luego fue corregido, no logré sacar screenshot y [...]

[Leer Más →]

Tal como lo hice algún día con las empresas de hosting y desarrollo web, me dedicaré a analizar durante la semana la seguridad de los sitios de los candidatos presidenciales. Los sitios que analizaré son: http://www.marco2010.cl/ http://www.efrei.cl/ http://www.arratepresidente.cl/ http://www.pinera2010.cl/ Todos estos presidentes (en especial el segundo y el cuarto) se han gastado una fortuna en [...]

[Leer Más →]

Antes que todo, quisiera agradecer a Leo_, quien donó prestó el GPS para que los del hacklab pudieramos jugar. Y para los que no saben lo que es el Wardriving: Se llama wardriving a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo en movimiento. Implica usar un coche o camioneta y un ordenador equipado [...]

[Leer Más →]

En el Hackmeeting 2009 se tenía pensado realizar una charla o taller de cómo crackear redes Wifi usando aircrack lo que, lamentablemente, no se realizó. Los chicos que nos visitaron desde Bolivia estában bastante entusiasmados por este taller y cuando se fueron me dijieron ¡acuerdate de enviaros un manual de aircrack!. El siguiente tutorial o [...]

[Leer Más →]

Hay dos técnicas para atacar un objetivo desde “el corazón”, una es ingresando remotamente a alguno de los servidores mediante algún servicio o alguna vulnerabilidad en el sitio web y la segunda, es ingresando directamente a la red de área local o LAN. Existen muchas vulnerabilidades conocidas y comunes que nos permiten ingresar a lugares [...]

[Leer Más →]

Hace unos días recibí un correo preguntandome cómo acceder -remotamente- a un servidor de base de datos que sólo acepta conexiones desde localhost, sin tener phpMy/PgAdmin ni acceso “directo” (ssh) al servidor. Responderé publicamente la pregunta. La respuesta a primera vista sería “Es imposible, ya que sólo tiene permitido ingresar desde localhost y, generalmente, el puerto [...]

[Leer Más →]

Un par de horas atrás, publiqué un artículo luego de haber leído una publicación de jcarlosn. Me di el tiempo de realizar una prueba de concepto (PoC) usando el exploit que él mismo propone. Si bien el código que él publicó tiene algunos problemas, luego de hacerle un par de modificaciones logré ejecutarlo y analizar [...]

[Leer Más →]