EtiquetaSeguridad

Seguridad cotidiana: cajeros automáticos, tarjetas de crédito, teléfonos públicos, etc

Con seguridad cotidiana me refiero a la seguridad de lo que vivímos en el día a día, cuando usamos un teléfono público, cuando vamos a un cajero automático a sacar dinero o bien cuando hacemos una compra con tarjeta de crédito.
Yo he sido víctima de la falta de seguridad en éstos 3 casos, si bien nunca me han robado dinero ni clonado mi tarjeta, si me he sentido inseguro utilizando alguno de los servicios. No hablaré solamente del fallo de seguridad de las empresas, tambien de la poca seguridad que tienen los mismos usuarios

seguridad cotidiana: cajeros automaticos, tarjeta de credito, telefono publico

Tanto las empresas como los usuarios (clientes) no tienen las suficientes medidas de seguridad al utilizar uno de éstos servicios, muchas veces los usuarios no denuncian una anomalía, por lo que para las empresas es difícil dar solución a algo de lo que no tienen conocimiento. Por otro lado, las empresas, cuando un usuario les denuncia algun problema, no son capaces de dar solución.

Seguir leyendo

Haciendo phishing explotando una vulnerabilidad XSS

Usaré de ejemplo un sitio que ya he usado en alguno de mis post, cuando hice los tests a las empresas de hosting. Mostraré cómo explotar una vulnerabilidad del tipo XSS para hacer phishing, capturar datos de acceso de usuarios para ganar acceso a un sistema, ftp , email, etc.

La empresa afectada es una inmobiliaria y constructora “Yagode”, la vulnerabilidad XSS se encuentra en el script “proyectos.php“, al no parsear la variable tipo. Tiene protección contra XSS, pero no es efectiva. Podemos comprobar ingresando a

https://www.yagode.cl/proyectos.php?Tipo=<script>alert(this)</script>

Obtenemos el mensaje de error 406 “Not Acceptable”,

Not Acceptable

An appropriate representation of the requested resource /proyectos.php could not be found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Sin embargo, permite incluir otro tipo de código como un iframe.

Seguir leyendo

El arte del ‘phishing’

Sin duda el phishing es una de las técnicas más usadas actualmente para el robo de información y suplantación de identidad, pero debemos reconocer que es todo un arte. Para quienes no saben lo que es el phishing, les extraigo lo siguiente desde la wikipedia:

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

Como dice la definición, son técnicas que se aplican mediante ingeniería social y ésta es, por si misma, un arte.
Podemos detectar distintos tipos de phishing, desde uno muy simple como falsificar un sitio y lanzarlo al mundo para que la gente caiga o bien uno más complejo con objetivos determinados y con víctimas específicas. En el primer tipo, me gustaría hacer referencia a todos los conocidos ataques que se han hecho a bancos simplemente falsificando el sitio web y obteniendo información de gente al azar, por ejemplo el caso en que se vio envuelto Mastercard Argentina. Con el segundo tipo, quiero hacer referencia a casos más trascendentes que generalmente no son conocidos, ya que no afectan a mucha gente sino mas bien a una víctima específica. Para mi, el primer tipo es una mierda, sin embargo, me gustaría destacar los ataques del segúndo tipo. De ahora en adelante, los distinguiré según su tipo.

Seguir leyendo

Sitios web de candidatos presidenciales al descubierto: MEO

Como ya anuncié hace un rato, empezaré con el sitio https://marco2010.cl.

meowned

Cuando comencé a escribir sobre éste sitio web, existía una vulnerabilidad de descubrimiento del path (Full Path Disclosure) junto a un SQL Injection y un XSS, dentro de un “plugin” hecho para las votaciones lo que luego fue corregido, no logré sacar screenshot y ejemplos para demostrarlo. Que hayan corregido éstos errores es un punto a favor para la seguridad del sitio. Vamos a ver hasta qué punto podemos poner a prueba la seguridad.

Seguir leyendo

Cruzando la información en un sitio web vulnerable

En los artículos que he escrito relacionado a vulnerabilidades webs más comunes siempre aparece el legendario Cross-Site Scripting o XSS. Una vulnerabilidad tan fácil de corregir y a la véz tan común, puede ser muy peligrosa ya que nos permite cruzar la información a través del sitio para luego poder manipularla, por ejemplo el robo de credenciales de un sitio web con un login o inicio de sesion.

d3m4s1@d0v1v0 escribió un artículo titulado “Cruzando Información, Cross-Site Scripting (XSS)” en el que, luego de aclarar el fín del artículo

ACLARACION: el artículo está dirigido a aquellos que quieran aprender programación web segura, gente dedicada a la seguridad que utiliza el hacking ético para descubrir problemas a solucionar y reportarlos. Para hacer este tipo de ataque deben contar con la aprobación del encargado de la web o quién corresponda.

explica detalladamente el por qué del nombre XSS, que es el XSS, cómo se puede “usar” el XSS, lograr que el usuario ejecute lo que queremos, entre otras cosas.
Recomiendo el artículo a quienes quieran informarse un poco más sobre el tema.

Test de seguridad a sitios web de candidatos presidenciales 2010

Tal como lo hice algún día con las empresas de hosting y desarrollo web, me dedicaré a analizar durante la semana la seguridad de los sitios de los candidatos presidenciales.

42-16335429

Los sitios que analizaré son:

  1. https://www.marco2010.cl/
  2. https://www.efrei.cl/
  3. https://www.arratepresidente.cl/
  4. https://www.pinera2010.cl/

Todos estos presidentes (en especial el segundo y el cuarto) se han gastado una fortuna en su campaña y quizas cuanto habrán gastado en temas de su campaña web, desarrollo del sitio, etc. Vamos a ver como se encargan de la seguridad los encargados de cada sitio.