Rastreando #XSS con Sleepy Puppy

Cross Site Scripting (XSS) es una vulnerabilidad que permite ejecutar código JavaScript en el navegador de la víctima sin su consentimiento. Por ejemplo, un XSS permite a un atacante, entre muchas posibilidades, mostrar el clásico mensaje mediante un pop-up, redirigir el navegador de la víctima a un sitio de terceros o robar las cookies de su sesión.

La herramienta que ocupa esta entrada es Sleepy Puppy y fue lanzada por Netflix en 2015 (sí, la Netflix que todos conocemos). Ésta permite, principalmente, mediante la inyección de determinados payloads en JavaScript, seguir la traza de las vulnerabilidades XSS obteniendo información de las víctimas del ataque. La información obtenida de éstas abarca desde cookies, hasta su user-agent, el código del DOM o una captura del sitio afectado (entre muchas más posibilidades).

La siguiente imagen (obtenida del blog de Netflix) muestra el proceso:

(fuente: http://techblog.netflix.com/2015/08/announcing-sleepy-puppy-cross-site.html)

En la imagen se observa que un atacante puede introducir un payload XSS en determinada parte de una aplicación, por ejemplo, como comentario a una entrada de un blog. Suponiendo que exista una vulnerabilidad de Cross Site Scripting al mostrar el comentario, todos los usuarios que visiten la entrada quedarán registrados en el panel de control de Sleepy Pyppy.

Continue reading

¿Perdiste tu telefono? ¡Encontralo con Google!

Perder el teléfono puede llegar a ser fatal para muchos usuarios. Cada vez llevamos en nuestro smartphone más datos y ha conseguido sustituir a muchos otros gadgets que antes utilizábamos. Por eso es crucial tener una forma de localizarlo en caso de perderlo y Google nos lo pone muy fácil con su última novedad.

Muchos recurrimos a aplicaciones de terceros que nos permiten localizar nuestro teléfono móvil en caso de pérdida o robo, aunque los principales sistemas operativos implementan esta función para sus usuarios. Lo que ha hecho Google es ofrecer nuevas formas de aprovechar la opción que ya existía anteriormente y nos permitía localizar el teléfono móvil.

Continue reading