Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
¿Buscas páginas de xss?
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
« Blog
Entradas por tag: xss
14 de Julio, 2015    General

Pentesting automatizado con Beef y su API Rest – Parte 1

Beef (The Browser Exploitation Framework) ha tenido una evolución bastante interesante en los últimos años y se han añadido mejoras que le convierten en una herramienta que se debe tener en cuenta a la hora de realizar pruebas de penetración u otras actividades relacionadas con el hacking. Se trata de un framework del que ya he hablado hace algún tiempo en varias entradas en las que comentaba cómo automatizar ataques XSS con Beef y cómo integrar Beef con Metasploit Framework. El proceso de instalación y otros detalles de la herramienta han cambiado un poco desde aquel entonces y por ese motivo, me he animado a escribir un parde artículos en los que voy a explicar cómo instalar la última versión de Beef, consumir la API Rest que se encuentra disponible en el Framework para automatizar tareas y otras características interesantes.

Instalando Beef

Beef se encuentra desarrollado en Ruby, con lo cual es necesario... Continuar leyendo

Palabras claves , , , , , , ,
publicado por alonsoclaudio a las 21:49 · Sin comentarios  ·  Recomendar
 
01 de Mayo, 2015    General

XSS persistente en el sistema de mensajes de eBay (notificado hace un año y todavía sin solucionar)

El sistema para el intercambio de mensajes entre usuarios de eBay contiene una vulnerabilidad XSS persistente que podría llevar al secuestro de sesiones. Lo peor es que Jaanus Kääp, su descubridor, avisó hace más de un año y a día de hoy sigue sin parchear.
Concretamente existen dos parámetros GET ("picfile" y "X-File-Name") en la petición que se genera al subir fotos que se pueden modificar para incluir código Javascript antes de llegar al usuario receptor seleccionado. El procedimiento es sencillo:

1. Envía un mensaje a alguien y haz clic en 'No se trata de un artículo'


Palabras claves , , ,
publicado por alonsoclaudio a las 00:03 · Sin comentarios  ·  Recomendar
 
13 de Diciembre, 2014    General

Diversas vulnerabilidades en AliExpress (solucionado)

Alibaba Group ha parcheado una vulnerabilidad en el portal comercio electrónico AliExpress que exponía información de sus decenas de millones de cuentas de comerciantes y clientes.


La empresa de seguridad israelí AppSec Labs encontró una vulnerabilidad de XSS en AliExpress similar al fallo encontrado la semana por la firma Cybermoon por por el investigador Amitay Dan y publicado en Full Disclosure en un medio israelí.
AliExpress WebSite Vulnerability Exposes Millions of Users' Private Information
AliExpress es unos de los sitios de E-Commerce más grande del mundo propiedad del gigante chino Alibaba.com, conocido... Continuar leyendo
Palabras claves , , ,
publicado por alonsoclaudio a las 13:33 · Sin comentarios  ·  Recomendar
 
21 de Noviembre, 2014    General

Probando aplicaciones de auditoría web con Google Web "Firing Range"

Google anunció el pasado martes en su blog Google Online Security la publicación de una aplicación online (con su código fuente correspondiente) en la que se recopilaban diferentes pruebas de concepto relacionadas con vulnerabilidades típicas web, con especial hincapié en todas las variantes posibles para la ejecución de Cross-Site Scriptings. Actualmente Google se encuentra desarrollando una herramienta de auditoría de vulnerabilidades para uso interno (a la que llaman Inquisition) para la cual necesitaban casos reales de vulnerabilidades para probar su eficacia.


Palabras claves , , , , , ,
publicado por alonsoclaudio a las 18:42 · Sin comentarios  ·  Recomendar
 
04 de Octubre, 2014    General

No me indexes que me cacheo

Ayer tuve el honor de estar en las conferencias Navajas Negras 4ª Edición, donde me habían invitado a dar una charla. Para ese día preparé una charla sencilla, junto con una herramienta que hemos trabajado en Eleven Paths, llamada Google Index Retriever que permite sacar el contenido que almacena el índice de Google sobre una URL concreta, haciendo un ataque de diccionario y fuerza bruta. La herramienta estará disponible en cuanto le hagamos una revisión de QA, así que tened un poco de paciencia.

Figura 1: Google Index Retriever
Las diapositivas las... Continuar leyendo
Palabras claves , , ,
publicado por alonsoclaudio a las 11:58 · Sin comentarios  ·  Recomendar
 
25 de Septiembre, 2014    General

El XSS universal: Un desastre contra la privacidad de Android

"No podía creerlo, pero después de varias pruebas, parece que es verdad: en el navegador de Android es posible cargar JavaScript arbitrario en cualquier página". Con esta introducción de Joe Vennix, del equipo de Metasploit, se presenta el último "desastre de privacidad" en Android (ha habido varios, al menos clasificados como desastres, y Joe ha desarrollado exploit para algunos...). Pero este es un poco especial, por su sencillez y alcance.

Rafay Baloch lo descubrió a principios de septiembre. Un fallo en el navegador por defecto de Android que permite eludir la política de SOP (Same Origin Policy) en las páginas. A efectos prácticos, significa que si se visita una web de un atacante con el navegador por defecto, el atacante podría tener acceso a toda la información de cualquier página. No solo la información explícita sino obviamente a las cookies (si no están protegidas) y por tanto, pueden robar las sesiones de las webs.

¿SOP?

La política... Continuar leyendo
Palabras claves , , , ,
publicado por alonsoclaudio a las 23:08 · Sin comentarios  ·  Recomendar
 
14 de Septiembre, 2014    General

XSSPOSED: El archivo de los bugs XSS en Internet

Al igual que Archive.org guarda las copias de todas las webs que puede de Internet, y que Zone-h tiene el archivo de los Defacements que se han hecho a las páginas web, XSSPOSED es una web que archiva y premia a los cazadores de bugs XSS (y Open Redirects) en Internet. En él se pueden acceder a los bugs que han sido encontrados y reportados en la web organizados por importancia de la web o por fecha de reporte, además de permitir ver quiénes son los mejores cazadores de XSS en Internet.

... Continuar leyendo
Palabras claves , , , ,
publicado por alonsoclaudio a las 15:00 · Sin comentarios  ·  Recomendar
 
CALENDARIO
Ver mes anterior Diciembre 2020 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
550 Comentarios: alex, marcus maximilliano, FRANK TODD, [...] ...
» Microsoft instalará puertas traseras en todos sus sistemas
2 Comentarios: Jessica Smith, Janet
» Samsung presenta el teléfono de tipo concha más potente del mercado
1 Comentario: Janet
» Actualización de múltiples productos Apple: iOS, OS X Server, Safari y Yosemite
1 Comentario: Janet
» Vulnerabilidades de cross-site scripting en IBM Domino Web Server
1 Comentario: Janet
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad