Tag Archive for web

Hacking vía Satélite

Vamos a jugar un poco con decodificadores de televisión vía satélite con el objetivo de ver algunos fallos de seguridad, pero antes de nada vamos a dar varias nociones para aquellas personas que no conozcan el tema.

Normalmente la persona que quiere ver la televisión de pago vía satélite necesita una antena parabólica (por la cual recibimos la señal de datos), un decodificador de satélite (capaz de decodificar la señales del satélite) y una tarjeta de abonado (que contiene las claves para descifrar la señal de datos cifrada). Hasta aquí todo correcto, verdad? pero antes de nada vamos a añadir una:

NOTA LEGAL

  • El objetivo de este artículo es conocer la seguridad de los receptores de comunicación vía satélite.
  • Rechazamos el uso de cualquier técnica ilegal como Card Sharing o IKS.
  • Ningún sistema sufrió daño alguno mientras se realizaron las pruebas de concepto.
  • No me hago responsable del mal uso que podáis dar a la información aquí mostrada.

Read more

Skipfish, Escaner Web

Hoy en día existen infinidad de aplicaciones, scripts, frameworks, etcétera para auditar sistemas, ya sean de infraestructura de red, Web, Web basado en OWASP, Wireless, etc… Suelen aparecer software con versiones gratuitas, gratuitas con limitaciones y versiones de pago con diferentes de modalidades.

Las de pago las vamos a obviar porque evidentemente, se necesita una inversión bastante potente en muchas de ellas y para algo “casero” pues no es demasiado lógico gastarse miles de euros.

Las versiones libres o scripts subidos a la red (GitHub por ejemplo), suelen tener la ventaja que son personalizables y puedes editarlos a tu gusto, que es lo que se estila para adaptar los resultados a gusto o necesidad de auditores o meros curiosos.

Hoy nos vamos a centrar en mostrar un escaner Web bastante potente que tiene sus pros y contras pero que es otra herramienta más que puede ayudarnos enormemente en labores de buscar agujeros de seguridad en plataformas Web ya sean en pre-producción o producción. Hablamos de Skipfish

skipfish2

Read more

ASCII Art en logs de servidor Web

Como estamos en vísperas del día de los Reyes Magos, hoy traemos una entrada divertida y que esperamos que os guste. Eso sí, como siempre, dadle buen uso. Vamos a insertar un poco de “arte” a modo de ASCII Art en los logs de un servidor Web. Mola, ¿no?

No es nada nuevo, de hecho la idea surge a raíz de un tweet de Mercè Molist donde se mostraba un mensaje que habían dejado en unos logs de un servidor. Me pareció bastante ingenioso, así que investigando un poco (es bastante simple como veréis a continuación) decidí replicarlo pero incluyendo un ASCII Art.

¿No sabéis lo que es? Seguro que estáis hartos de verlo, algo como esto:

 __  __           __   _                ________  _          
   / / / ____ ______/ /__(_____  ____ _   / ____/ /_(__________ 
  / /_/ / __ `/ ___/ //_/ / __ \/ __ `/  / __/ / __/ / ___/ __ \
 / __  / /_/ / /__/ ,< / / / / / /_/ /  / /___/ /_/ / /__/ /_/ /
/_/ /_/\__,_/\___/_/|_/_/_/ /_/\__, /  /_____/\__/_/\___/\____/ 
                              /____/

¿Y cómo lo vamos a hacer? Muy sencillo, seguiremos los siguientes pasos, que como podréis comprobar, son muy simples:

  1. Guardar nuestro ASCII Art en un fichero.
  2. Crear un script en Python que lea línea por línea el fichero.
  3. Por cada línea leída, hace una petición HTTP al servidor Web.

Aquí lo interesante es que modificaremos las cabeceras de HTTP en función de cómo queramos hacer la petición, y es que dependerá de varios factores, por ejemplo de cómo esté configurado el formato de log en el servidor.

Algo que en los servidores Apache, por ejemplo, se podría definir con la siguiente línea en su archivo de configuración:

CustomLog ${APACHE_LOG_DIR}/access.log combined

En el caso de servidores Web de tipo Apache, el formato de logs se puede personalizar, y existen varios formatos para ello. Por ejemplo, con el formato de log “common“, un access.log de un Apache tendría este aspecto:

[05/Jan/2016:11:02:26 +0100] “GET / HTTP/1.1” 200 572

Sin embargo, por ejemplo con el formato de log “combined“, un access.log tendría el siguiente aspecto:

[05/Jan/2016:11:40:53 +0100] “GET / HTTP/1.1” 200 572 “-” “”

En este último formato (combined), los dos últimos valores que van entre comillas, justo después del 572 (tamaño de petición), son el Referer (origen de la petición) y el User-agent, respectivamente.

Si el servidor está usando este formato, con nuestro script en Python podemos “jugar” a insertar nuestro ASCII Art a través de una de estas cabeceras.

Read more

Web Hacking : Una línea para manejarlos a todos

¿Podría darte una línea de código acceso a un sitio Web completo? ¿Qué información obtendría un atacante si consiguiera llegar al nivel más bajo de tu página Web? es decir, a tu BBDD o SSOO. Dependiendo del objetivo de la misma podría encontrar seguramente información sobre la identidad de los usuarios, transacciones bancarias, compras online, usuarios, contraseñas y mucho más.

¿Cuánto vale tu información? Debemos de establecer unos controles de seguridad mínimos a nuestro sitio Web, llevar a cabo una serie de auditorías de seguridad que garanticen el buen funcionamiento de la misma. No sólo tener en regla la política de cookies y poco más, sino os puede ocurrir como la Web con la que me encontré hace unas semanas a la hora de preparar una charla. Antes de nada os muestro un disclaimer.


Aviso Legal y Descargo de Responsabilidad

  1. El objetivo de lo mostrado a continuación tiene fines educativos para aprender a mejorar la seguridad de nuestros sitios Web.
  2. No nos hacemos responsables del mal uso que se le pueda dar a las herramientas mostradas.
  3. Toda la auditoría Web mostrada a continuación se ha llevado a cabo con permisos de sus administradores según lo acordado en documento legal.

Vamos a llevar a cabo la auditoría de un sitio Web siguiente la metodología OWASP, concretamente seguiremos la OWASP Testing Guide V4. Los diferentes puntos que abarca dicha metodología los podéis ver detalladamente en el enlace anterior. A continuación nombramos los aspectos generales a tratar.

Read more

Cursos de Hacking Ético

Queremos informaros de que el 16 de Noviembre lanzaremos un nuevo curso que hemos estado diseñando cuidadosamente para ofrecer máxima calidad en los contenidos de nuestra formación en seguridad.

Concretamente, la novedad es el Curso de Hacking Ético Web.

En este curso aprenderás a desenvolverte en cuestiones de seguridad Web. Ataques SQLi, XSS, CSRF, etc… y también como proteger tus sistemas de estos ataques tan sumamente comunes y extendidos.

La primera edición comenzará el 16 de Noviembre y ya avisamos que antiguos alumnos ya están inscritos en el curso. Esto, unido a que siempre ofrecemos plazas limitadas para poder atender de forma personalizada a los alumnos, hacen que esta primera edición esté muy solicitada por lo que no dudes en darte prisa si realmente estás interesado.

La ficha técnica la subiremos en breve con información totalmente detallada para que podáis ver que módulos se impartirán así como otros detalles del curso.

Recordad que nuestros cursos son totalmente online y que podéis entrar al apartado de cursos de nuestro blog para informaros:

http://hacking-etico.com/cursos-de-seguridad-informatica/

Happy Hacking!

Phishing bancario con Ruralvia de Caja Rural

Firma invitada: Inmaculada López Gutiérrez @inmaculadalogu

En esta ocasión tenemos el placer de contar con la colaboración de Inmaculada López Gutiérrez, a la que agradecemos su investigación y redacción de este interesante post sobre phishing bancario. ¡Gracias Inmaculada!


Me estreno como “bloguera” tras recibir, cuando iba dispuesta a descansar un ratito, un correo “con premio” como los hackers a quienes sigo dicen. Reconozco que a quienes no lo somos, a veces nos cuesta seguir las enseñanzas de los mismos, así que quizá por ello, pueda ser útil el contar lo ocurrido desde la visión de una persona no experta en seguridad como yo. Más que empezar contando el contenido de este email recibido, mucho más claro queda si lo muestro tal cual:

Phishing bancario

Al leerlo, y gracias a todos los consejos de estos “Grandes”, desconfié de inmediato de ese enlace, sobre todo, como siempre bien dicen, usando el sentido común: Mi banco jamás me pediría que realizase una verificación tal a través de un correo, y mucho menos, pinchando en un enlace. Pero debo reconocer que me asombró el perfecto español con el que estaba escrito, y el buen formato de la dirección de correo electrónico que, ya que lo leí en el teléfono móvil, no me mostraba el dominio de la misma. Eso si, al pulsar para verla por completo, ese dominio que nada tiene que ver con la entidad bancaria, viene a ser un nuevo indicio de que es un correo “con premio”.

Picada por el bichillo de la curiosidad que esto de la seguridad informática tiene y siguiendo los consejos recibidos por uno de estos expertos en sus charlas, fui a usar las que él mismo llamó Técnicas Sencillas de Análisis de Malware, todas ellas online. Read more

Phishing en un sitio Web comprometido

A raíz de una consulta de un alumno del curso de Hacking Ético, decidí investigar acerca de un enlace que había recibido de un amigo suyo, que éste no había enviado. Me comentaba que se trataba de un enlace falso que al parecer robaba las credenciales de algunos servicios de correo como Gmail. Obviamente, a nosotros en hacking-etico.com todo lo que sea investigar este tipo de delitos nos encanta, y si puede servir para ayudar y concienciar, mejor.

En primer lugar utilicé servicios online para analizar URL y verificar si se trata de una URL maliciosa o no, y en caso de que lo sea, por qué y qué motores de análisis lo detectan como tal. He usado virustotal.com obteniendo el siguiente resultado.

Phishing en un sitio Web comprometidoPara evitar problemas de confidencialidad y reputación, hemos preferido ocultar los datos del sitio Web. Además desde el equipo de hacking-etico.com nos pondremos en contacto con los responsables del sitio advirtiéndoles de que están siendo víctimas y su sitio está siendo usado para realizar phishing. Sí se puede observar que se trata de un dominio .com.ve, de Venezuela.

Como podéis observar dos motores, de los más importantes, nos indican que se trata de un sitio Web malicioso. Incluso Fortinet va más allá y lo cataloga como un sitio de phishing. Mini-punto para Fortinet. Read more

Goear, ¿música online ó virus online?

Buenos días, hoy me disponía a escuchar un poco de música online mientras trabajaba, para amenizar un poco el día de lluvia con el que nos hemos levantado hoy en Córdoba. Pues bien, cuál es mi sorpresa cuando al cargar la web de Goear, www.goear.com, mi fantástico Avira me alerta con un posible intento de infección de un archivo llamado goear_com[1].html. Avira lo ha catalogado como un HEUR/HTML.Malware genérico. No sé si se trata de un falso positivo, habrá que estar atentos en las próximas horas.

De momento os dejo una captura. Si sois asiduos a esta Web, actualizad vuestro software Antivirus y andaros con ojo.

Saludos!