viernes, 28 de septiembre de 2007

¿Buscaban "Hacker" o persona con conocimientos minimos?

Bueno me meti en el blog de mousehack, un user de elhacker.net y aunque anda algo desactualizado el blog me fije en un escrito que habia hecho, donde decia que:

Buscan Hacker...

Una empresa inglesa busca un "hacker" para mejorar o rehacer páginas webs seguras. Los candidatos que se ajusten al perfil deberían encontrar facilmente la dirección a la que enviar su curriculum en la siguiente cadena de texto: 43616c6c204a756c69616e206f6e20303230203739323420363632206f7220656d61696c206a756c69616e406c6f6e7265732e636f6d Solo admiten curriculums en texto plano o pdf.


y me llamo la atencion y pense...a ver si va a ser un hash de esos raros tiger o algo asi que suelen ser largos... y bueno dije mejor pasar aunque ande aburrido, pero bueno por probar no me pasaba nada...y me fue a desencriptar como si eso fuera texto ascii cifrado en hexadecimal, aunque pensaba que no seria porque buscaban un "hacker" pero derrepente veo que me lo descifra y dice: Call Julian on 020 7924 662 or email julian@lonres.com
Entonces ahi pense, este no necesita un hacker...este no tiene ni idea, y lo tercero menuda tonteria mas grande, asi que na, no avise para ver si tenia el curro porque no merece la pena...
Asi que nada, gente asi falta mas jejeje se encontrara trabajo mas facilmente.

jueves, 27 de septiembre de 2007

Errores de programacion

El principal problema de los llamados Hackers...prefiero llamarles Defacers mejor que es a lo que se dedican o eso nos hacen creer, tratan de modificar muchas veces el contenido de webs, o tambien los Crackers como alguien que entra en un sistema para hacer cosas ilegales y que perjudican al usuario, aunque eso de crackers se utiliza mas para los que estudian Ing. Inversa por lo que deberian llamarlos mas Ingenieros Inversos o algo asi jeje.
Tanto es asi que en la sociedad a los "Hackers" en la sociedad se les mira mal o lo usan de mala manera cuando muchos de ellos son los que arreglan los fallos de programacion al avisar de ellos y ayudan a mejorar el sistema. Entre los fallos mas importantes estan:

A nivel web:
Los que suelen ser por problemas de codigo de programacion para diseño de paginas web y que permiten hacer a un atacante muchas otras cosas como phising, intrusion total al servidor, sacar datos, contraseñas debiles y estudios de algoritmos para saltarse protecciones. Los fallos mas comunes son:
-XSS(Cross Site Scripting)
-CSRF(Cross site request forgery)
-RFI Y LFI(Remote/Local File Inclusion)
-INYECCIÓN SQL/LDAP/X-PATH
-VER CODIGO FUENTE SIN OFUSCAR(Java,Flash, Javascript...)

A nivel de software:
Los problemáticos que permiten principalmente ejecutar codigo arbitrario en la maquina o ganar permisos de admin son:
-BUFFER OVERFLOWS(Stack, Heap, Format String...)
-DOS/DDOS(Ataque de Denegación de Servicio, Distribuido)
-CODIGOS QUE PERMITEN BYPASSEAR PROTECCIONES(En php por ejemplo)
-OTRAS TECNICAS

Conociendo estas tecnicas muy bien y teniendo buena informacion es posible ya encontrar tus propios bugs y asi tener cuidado programando, es algo en lo que fallan las empresas, que se olvidan de la seguridad y luego llegan las consecuencias...por lo tanto deberian ponerse a enseñar como minimo estos fallos, dependiendo de lo que esten haciendo yentre todos ayudar a que haya mas info en español, asi que dentro de nada os escribo un articulo de una de nivel web que este lo mas completa y viendo todo tecnicamente y practicamente, ya que lo que busque en español siempre se repite, y lo del ingles habia buena info pero dispersada.

jueves, 20 de septiembre de 2007

Buscando Bugs en Gallery 2(en espera)

Bueno pues me puse a la busca de bugs de una version de Gallery 2, exactamente la 2.2.3 y en la que me baje completamente con todos los addons, una version de casi 20MB, la idea es que alguien como yo con conocimientos justos en php y de los errores mas comunes que hay si puede ser demuestre que no es muy dificil buscar bugs en software y que deberian testearse cualquier software en profundidad antes de ser lanzado, espero confundirme y no encontrar nada jejeje(broma me haria ilusion encontrar alugno xD), y bueno en caso de encontrar algun fallo lo muestro aqui, despues de haber avisado a los encargados del proyecto que al ser open source no tardaran en arreglarlo seguro porque suelen funcionar rapidamente.

Pagina web del proyecto: http://gallery.menalto.com/

------------------------------------------------
En espera por problemas de hosting

miércoles, 19 de septiembre de 2007

Editando Ezine para Yashira.org

Bueno en estos momentos me encuentro editanto una revista electronica para la web Yashira.org y que esta en plena fase de desarrollo, asi que quien quiera puede escribir un articulo para ella, eso si se piden sobretodo que sean novedosos o de los que se haya hablado poco, y que tengan buen nivel ya que espero que no sea una mas de las muchas que hay, y bueno cualquier pregunta ya sabeis.

Espero que salga pronto y os gusten los articulos, ale sigo editando y maquetando.

domingo, 16 de septiembre de 2007

Ataque XSIO

Hay una "nueva" o conocida, pero en la que no se ha hablado antes, vulnerabilidad llamada "XSIO" o lo que es lo mismo Cross Site Image Overlaying que se produce a causa del atributo style, nos permite un nuevo modo de hacer defaces..que se van a reir de ti como los hagas con estas cosas... o phising mediante links en imagenes, hay algunos sitios en los que para ir a algun lado hay que apretar en la imagen...¿que pasaria si en vez de la imagen esa vieramos una nuestra con nuestra sitio para hacer phising?Pues sencillo se podrian sacar datos como hacen actualmente y hacer que el usuario vea lo mismo cuando no lo es.

Le veo el problema a la vulnerabilidad de que en muchos sitios no va a funcionar ya que necesita para funcionar o HTML habilitado en algun lugar...pocos lo hacen, o mediante CSS que o eres admin, o en algunos blog esta esa posibilidad pero seguramente no funcione en muchos sitios aun asi en este funciona jejej, la cosa es que si pones para que vaya a una web...tendria que tener un sitio donde redireccione paginas web, ya que sino quedaria algo asi: http://trancek.blogspot.com/http://yashira.org y daria un error .
Lo probe en algunos sitios y algunos ya traen proteccion por si intentas hacer algo asi aun si puede ver e intentar hacer cosas malignas, es solo tener imaginacion.

Ejemplo:


Al hacer un post por ejemplo con el codigo:

{img src=http://img514.imageshack.us/img514/163/dibujobi1.jpg style=position:absolute;right:350px;top:90px;/}

{} es lo mismo que <> es que esto tmb es vulnerable...jejeje

Solo lo probe ahi, una web que me encontre por ahi, y nada mas probarlo lo borre soy buena gente.
Asi que los que lean esto lo prueben con sus webs por si acaso y no hagais muchas maldades, con conocimientos del html se te ocurriran mas cosas que hacer.

Articulo: XSIO

Uno mas que se une a los blog

Aqui va mi diario ejejeje, para que vean que siempre esta bien decir unas cuantas paridas al dia y poco mas.

2001
Creo que por esa epoca empece a ver eso de internet.
2002
Me empiezo a interesar por la Ing Inversa pero como soy un niño no me entero de nada y lo dejo.
2003-2004
Soy un chico interesado en los llamados wargames y en el hacking, todavia me quedaba mu lejos todo, me leo de todo y sobretodo ezines como Disidents.
2005-2006
Me vicio a una web llamada hackyashira.com actualmente llamada yashira.org
2007
Aqui me llego una epoca en la que aprendo mas cosas y voy viendo como manejarme en esto.
2008
Soy millonario e invito a todo el mundo a cocteles, me hice rico ayudando gratis, por lo tanto los cocteles con bebidas de marcas baratas, sorry
2012
Se acabo el mundo, estoy escribiendo desde dios sabe donde.
2013-20xx
Me internan en el psiquiatrico y lo demas ya lo sabeis.


Quien haya leido esto no tiene derecho a dcir que estoy loco, mas que nada porque el loco seria el que lo lee no el que lo escribe, ya que a partir de cierto lugar deberia de haber dejado de leer xD

Saludos