domingo, 16 de abril de 2017

OWASP Latam Tour 2017 - Perú

Hola todos, como sabrán cada año por estas fechas se realiza el OWASP Latam Tour, un evento patrocinado por OWASP que se lleva a cabo en varios países de Latinoamérica y aborda temas de seguridad en aplicaciones web y hacking en general. En Perú, el Latam Tour de este año, será el próximo sábado 22 de abril en la Universidad de Ingeniería y Tecnología (UTEC). El ingreso es totalmente gratuito (previa inscripción)¡No te lo puedes perder!

Para mayor información:

Inscripción: https://latamtour2017peru.eventbrite.com/

Información: https://www.owasp.org/index.php/LatamTour2017#tab=PER_C3_9A

Un saludo.

jueves, 19 de enero de 2017

Login Open Redirect en Facebook a traves de Youtube

Ya hemos hablado de esto antes en el blog. Primero fue con Google y recientemente con Facebook. A la fecha ambos fallos están parchados. Hoy le va a tocar nuevamente a Facebook }:) Vaya por delante que este Open Redirect ha sido reportado a Facebook pero no fue aceptado en su programa de Bug Bounty por considerarlo de poco riesgo.


domingo, 18 de diciembre de 2016

Login Open Redirect - Facebook

Hola a todos después de mucho tiempo :D

Seré breve. Se trata de un bypass en el famoso "Link Shim" de Facebook que permite un Open Redirect. Tan sencillo como esto:

http://www.facebook.com/l.php?u=http://example.com%23.youtube.com/&h=xxxxxxxxx

Luego solo hay que enlazar este link con el parámetro "next" en el login de Facebook para tener un bonito Login Open Redirect explotable en un ataque de phishing }:))

https://www.facebook.com/login?next=%2fl.php%3Fu%3Dhttp%3A%2f%2fexample.com%2523.youtube.com%26h%3Dxxxxxxxxx

A la fecha este fallo ya está parchado  0:)

Demo


Un saludo.



sábado, 3 de septiembre de 2016

Disco virtual cifrado con LUKS

Esta es una guía paso a paso para crear una unidad de disco virtual cifrada con LUKS en Fedora (aunque también debería funcionar en otras distribuciones) similar a lo que podíamos hacer con TrueCrypt. Probablemente encuentres en Internet muchas guías similares pero estos son los pasos que me han funcionado a mi y como tengo mala memoria los voy a dejar en este post para consultarlos cuando los necesite nuevamente.






domingo, 29 de mayo de 2016

Shell reversa interactiva a lo HackBack!

Hace algunos días me topé con este vídeo donde de forma muy didáctica "Hack Back!" (@GammaGroupPR), un hacker que recientemente ha ganado fama por sus hazañas al estilo Robin Hood, muestra como hackea la web de "Mossos d'Esquadra". Al margen de las implicaciones éticas, legales, morales, etc., etc. que pueda tener el contenido del vídeo, lo cierto es que se puede aprender mucho viéndolo y como siempre he defendido que el conocimiento escapa a la ética, moral, legalidad y otros calificativos, voy a compartirlo aquí en ese sentido, mas no por cualquier otro motivo.