Error 404: “Pagina no encontrada … la persona tampoco”

La propuesta es simple, sencilla y eficaz: ¿Que pasa si unimos la tecnología con las grandes ONG de personas perdidas, tal como Missing Children?

Se trata, ni más ni menos, de aprovechar el famoso “Error 404” que nos devuelve un sitio web al no encontrar la pagina. A los que no lo recuerdan, esto les refrescará un poco la memoria:

1Entonces, ¿donde está la idea? Daniel Monastersky, abogado argentino especializado en nuevas tecnologías, propone que en el país argentino se publiquen fotos y datos inclusive, de personas que hayan desaparecido cada vez que nuestro navegador nos retorne el“Error 404”.

La gran ventaja, de no solo poder ayudar a las personas que hayan desaparecido, es que podamos aprovechar esos segundos en que vemos el error para poder ver este mensaje:“Esta pagina no se pudo encontrar, tampoco este chico”.

2

Cabe destacar que este proyecto no solo servirá para búsquedas de chicos desaparecidos, sino que ante emergencias sociales-nacionales (por ejemplo, por prófugos), también quedarían plasmadas las imágenes con el “Error 404”.

La iniciativa será lanzada primero en Argentina, en el mes de Marzo. A partir de allí, se tratará de replicar seguramente a todo Latinoamérica, siempre con el objetivo de poder ayudar y colaborar desde nuestro espacio.

Fuente: SrTabo

Web Hacking CTF: Infosec Institute Level 13

Último ejercicio del desafío de Web Hacking de Infosec Institute. De los más divertidos que he podido resolver. Así que bien, arranquemos.

1

Debemos saber como se está haciendo la redirección. Una forma fácil, es pararnos encima de Level 13 (desde la pestaña izquierda superior) y ver como trabaja el sitio.

2

http://ctf.infosecinstitute.com/ctf2/exercises/ex13.php?redirect=ex13-task.php

Continue reading

Web Hacking CTF: Infosec Institute Level 10

Bien, un ejercicio por lo que veo bastante difícil. Y como dice la temática de este nivel, tendremos que tocar el código fuente: Source Code Tampering.

1Nuestra tarea (la cual no salió en la foto), es de ganar el juego en dificultad extrema y con un record de wins de 9999. Debe haber alguna función en el código fuente que maneje las partidas ganadas, ¿no?. La mejor forma de saberlo, es jugando …

2

Continue reading

Web Hacking CTF: Infosec Institute Level 5

Nos encontramos con una pantalla que posee un botón de Login deshabilitado (inspeccionen el elemento), con el siguiente mensaje resumido:

Parece que te has encontrado con una pagina solo usuarios autenticados puedan ver. Haz magia para poder visitarla sin estar logeado.

Con este mensaje y el botón de Login ya tenemos algunas pistas, igualmente al no tener suficiente información podemos consultar las que nos provee el juego, para hacer un listado y poder atacar:

Continue reading

Web Hacking CTF: Infosec Institute Level 4

Nuestro nuevo desafío, es encontrar la forma de poder cargar un archivo PHP desde el directorio raíz de infosecinstitute.com.

1

Si vamos navegando por los diferentes servicios de la página (BioClientsAbout) vamos a ver que la URL recibe como parámetro cierto archivo .TXT. Por ejemplo en la sección Bio, obtenemos lo siguiente

http://ctf.infosecinstitute.com/ctf2/exercises/ex4.php?file=file1.txt

Hasta ahora, sabemos lo siguiente:

  • Existe una referencia de objetos (file=)
  • Podemos crear una referencia desde nuestro servidor remoto (infosecinstitute.com) para llamar a un archivo PHP.

Continue reading

Web Hacking CTF: Infosec Institute Level 1

¡ Buenas !

Me pude sacar la facultad de encima y juro que tenía muchas ganas de retomar con el blog, ESTA VEZ para no dejarlo tirado más. Antes de que finalice el año voy a contar un poco como me fue este año en lo personal y profesional, fue muy satisfactorio. Así que bueno, arranquemos con la entrada como corresponde.

En una serie de 13 desafios, vamos a realizar el CTF de Infosec (nuevamente), pero en este caso nos ofrece un hacking challenge algo (en lo personal) mas divertido: hacking web apps.

Continue reading

Rompiendo los grupos de Whatsapp

Si tenes ganas de que todos los participantes de un grupo comiencen a odiarte, entonces empezá a leer.

WhatsApp Web permite enviar una GRAN cantidad de caracteres en un solo mensaje (un poco mas de 60000), así que la prueba de concepto es muy fácil. Desde tu navegador accede a Whatsapp Web (si todavía no lo tenes, ¿que esperas para bajarlo?) y en un mensaje de grupo envía alrededor de 4400 emoticones en un solo mensaje y deja que la magia suceda. Seguramente tu navegador va a empezar a tildarse, eso no importa .. lo que importa es cuando los participantes abran el mensaje y se congelen sus WhatsApp.

¿La remediacion oficial? Se lanzara con una nueva actualización de WhatsApp, la cual esta en desarrollo.

¿La remediacion provisoria? Borra el chat de tu grupo (¡no elimines el grupo!)

Para los que quieren ver una demostración de este crash de WhatsApp

DynamicSec.

¿ Por que deberíamos de dejar de usar Adobe Flash en nuestros navegadores ?

Si has estado pendiente de la actualidad tecnológica lo más seguro es que te hayas enterado del escándalo de Hacking Team, básicamente una empresa que se dedica a a la vigilancia en Internet y es contratada por una gran cantidad de países del mundo para espiar a sus ciudadanos. Gracias a todas las filtraciones relacionadas con las operaciones de Hacking Team hemos podido aprender mucho sobre la seguridad de nuestros datos y de nuestros dispositivos, y de como existen vulnerabilidades fácilmente explotables en los sistemas y servicios que usamos a diario. Uno de ellos es Flash.

La semana pasada conocíamos una vulnerabilidad en Adobe Flash presente en Internet Explorer, Chrome, Firefox y Safari que permite ejecutar código malicioso en los equipos de las victimas. Y, hoy nos enteramos de otras dos que siguen sin parche ni actualización, ambas al igual que la primera permiten la instalacíon y ejecución de código malicioso en tu PC. Tres huecos en Flash que ponen en peligro a cualquiera que lo use, otra prueba más de que esta tecnología debe ser dejada en el pasado de una vez por todas y para siempre.

Continue reading