CTFR OBTENIENDO SUBDOMINIOS ABUSANDO DE LOGS DE CERTIFICADOS HTTPS
Categoría: Prácticas
ANÁLISIS DE RANSOMWARE EN DISPOSITIVOS MÓVILES
INTRODUCCIÓN
El ransomware es una amenaza que atenta contra la integridad de la información, cuyo objetivo es cifrar todos los archivos de nuestro dispositivo ya sea a través de un conjunto de reglas donde se especifiquen tipos específicos de archivos a cifrar o de manera general sin alguna excepción. En algunos casos se presentan variantes que nos impiden acceder a ciertas funciones de nuestro dispositivo con el fin de pedirnos un rescate a cambio de recuperar nuestra información que en la mayoría de casos es un pago que se realiza en bitcoin debido a su dificultad al rastrear.
Con el paso del tiempo el dispositivo móvil se ha vuelto una herramienta imprescindible, en la cual es posible almacenar la siguiente información:
- Fotos Personales (Fotos íntimas, familiares, laborales, etc.)
- Documentos (Estados de cuenta, trabajos, documentos sensibles de la empresa, etc.)
- Contactos (Personales, profesionales, familia, etc.)
- Mensajes (SMS, códigos de segund...
EXPLOTAR LA VULNERABILIDAD BLIND SQL INJECTION
HISTORIA
Como es sabido, la inyección de código representa el principal riesgo para los aplicativos web, según OWASP top 10. La SQL injection tiene un impacto muy alto debido a la facilidad de su detección y explotación con respecto a los daños que puede ocasionar.
Tipos de SQL Injection
Dentro de los tipos de SQL injection, podemos mencionar principalmente dos, las inyecciones clásicas (Las cuales muestran errores con rutas de archivos, líneas, tipos de motores de base de datos, etc.) y las inyecciones a ciegas (Las cuales realizan consultas de verdadero o falso).
En las inyecciones a ciegas tenemos dos variantes, cuando el error no se muestra es posible indicarle a la base de datos que haga una breve suspensión para poder determinar si la condicional es verdad o no. Dicho de otra manera.
Inyección a ciegas. Realizaremos una consulta a la base y la respuesta sólo será verdadero o falso.
Interpretaremos las respuestas de acuerdo al contenido del sitio. Cuan...
Recopilación de calculadoras de claves Wi-Fi WPA / WEP
Los routers que reparten las compañías españolas Jazztel y Movistar, entre otras, a sus clientes ADSL llegan con un sistema de cifrado por defecto en principio seguro, con protocolo WEP / WPA. Sin embargo existe una vulnerabilidad en este esquema de seguridad en particular y es que los fabricantes asignan las claves y los nombres por defecto de las redes Wi-Fi mediante un algoritmo predefinido.
¿Qué queremos decir con esto? Sencillamente que si se conoce el algoritmo puedes conocer la clave de cifrado por defecto de todos los routers Wi-Fi anteriormente mencionados, es decir, podríamos acceder a esas redes en caso de que los usuarios no hayan cambiado su nombre / clave de cifrado.
Existen numerosos desarrollos que hacen uso de esta idea, tanto a través del navegador, como incluso para iPhone / Android. Desde MuySeguridad queremos mostraros una serie de servicios que permitirán calcular las claves Wi-Fi de los routers de última generación ofrecidos por tan...
Leer mas
¿Qué queremos decir con esto? Sencillamente que si se conoce el algoritmo puedes conocer la clave de cifrado por defecto de todos los routers Wi-Fi anteriormente mencionados, es decir, podríamos acceder a esas redes en caso de que los usuarios no hayan cambiado su nombre / clave de cifrado.
Existen numerosos desarrollos que hacen uso de esta idea, tanto a través del navegador, como incluso para iPhone / Android. Desde MuySeguridad queremos mostraros una serie de servicios que permitirán calcular las claves Wi-Fi de los routers de última generación ofrecidos por tan... DIEZ TÉCNICAS DE HACKING QUE DEBERÍAS CONOCER
INTRODUCCIÓN
En este artículo veremos algunas recomendaciones que cualquier pentester tiene que tener en cuenta a la hora de realizar una prueba de penetración, sin importar que tipo de caja sea (blanca, gris o negra), el alcance de la prueba e incluso el nivel de profundidad de la explotación.
10 Keylogger
Es un tipo de spyware de vigilancia que puede grabar mensajes, correos electrónicos y pulsaciones de teclas en un archivo de registro. Eso puede contener contraseñas, números de seguro social, tarjeta de crédito y puede ser enviado fácilmente al hacker.
[caption id="" align="alignleft" width="800"]
Keyloguers[/caption]
9 Ataque DDOS
Un ataque de denegación de servicio distribuido (DDoS) es un intento de hacer que un servicio en línea no sea accesible abrumado el tráfico de múltiples fuentes. Esos ataques a menudo emplean redes de bots, también llamadas computadoras zombies, que son sistemas que son tomados por un hacker, a veces sin saberlo.
...ANÁLISIS DE RANSOMWARE EN DISPOSITIVOS MÓVILES
INTRODUCCIÓN
El ransomware es una amenaza que atenta contra la integridad de la información, cuyo objetivo es cifrar todos los archivos de nuestro dispositivo ya sea a través de un conjunto de reglas donde se especifiquen tipos específicos de archivos a cifrar o de manera general sin alguna excepción. En algunos casos se presentan variantes que nos impiden acceder a ciertas funciones de nuestro dispositivo con el fin de pedirnos un rescate a cambio de recuperar nuestra información que en la mayoría de casos es un pago que se realiza en bitcoin debido a su dificultad al rastrear.
Con el paso del tiempo el dispositivo móvil se ha vuelto una herramienta imprescindible, en la cual es posible almacenar la siguiente información:
- Fotos Personales (Fotos íntimas, familiares, laborales, etc.)
- Documentos (Estados de cuenta, trabajos, documentos sensibles de la empresa, etc.)
- Contactos (Personales, profesionales, familia, etc.)
- Mensajes (SMS, códigos de segund...
LANZAMIENTO DE KALI LINUX 2018.1
Historia
Los desarrolladores de Kali Linux han lanzado una nueva versión de este gran sistema operativo para todos y cada uno de aquellos que nos dedicamos al Pentesting, esta increíble distribución de Linux en seguridad incluye grandes cambios en varios aspectos como los mencionados a continuación, el equipo de Kali Linux menciona que fue todo un desafío lograr esta versión de Kali ya que después de lo de Meltdown y Spectre tuvieron muchos otros desafíos que cumplir, entre las mejoras están:
Kernel actualizado a 4.14
Kali Linux 2018.1 tiene un nuevo núcleo brillante 4.14.12. Los nuevos kernels siempre tienen muchas características nuevas y el kernel 4.14 no es una excepción, aunque dos características nuevas realmente se destacan.
Compatibilidad con el cifrado de la memoria segura de AMD: el cifrado de la memoria segura es una característica que se encontrará en los procesadores AMD más nuevos que permite el cifrado y descifrado automático de DRAM. La a...