Hoy en la mañana me aviso un amigo que algo raro le sucedía al sitio del Tecnológico de Morelia. Pues al parecer alguien la vulnero y puso una página con links a descargas de archivos tipo .rar y en el final de la pagina la leyenda “MADE IN CHINA”. Es obvio que es lo que paso aquí, sin embargo no profundizare hasta que la institución solucione este ataque.

Free From MaGnUm-X WTF?

En fin, aquí unas capturas.

Una buena herramienta para cuando no estamos en nuestra máquina y necesitamos sacar información de alguna página al estilo Firebug es XRAY, un SCRIPT en Javascript que se encarga de dar este tipo de información.

Para utilizarlo, solo necesitas estar en cualquier página y poner este código en la barra de direcciones.


javascript:function%20loadScript(scriptURL)%20{%20var%20scriptElem%20=%20document.createElement(’SCRIPT’);%20scriptElem.setAttribute(’language’,%20′JavaScript’);%20scriptElem.setAttribute(’src’,%20scriptURL);%20document.body.appendChild(scriptElem);}loadScript(’http://westciv.com/xray/thexray.js’);


[EJEMPLO CON MI SITIO]

Una potente herramienta que muestra el potencial de javascript, sin embargo a mi opinión este tipo de prácticas son peligrosas. Ya que estamos ejecutando código externo que puede ser maligno(no digo que este sea el caso)… y a eso se le llama XSS.

Solo como comentario, hoy en día hay que tener cuidado.

Vía: anieto2k

Para andar probando y desasiendo las peticiones HTTP, yo utilizo firefox con algunas extensiones. Aunque hace algún tiempo publique un articulo sobre el Hacking Ético con firefox, hoy pongo algunas nuevas herramientas para el jugar con HTTP.

Firebug. Esta extensión que para mi es cómoda a la hora de desarrollar aplicaciones con AJAX, ya que muestra las peticiones de forma ordenada y estructurada. También por orden de ejecución y que archivo y linea están ejecutándola. Esta forma de hacerlo es lo que hace a firebug una gran herramienta a la hora de andar programando con javascript. Yo me pregunto ¿Qué desarrollador no usa firebug?.

Live HTTP Headers. Una aplicación sencilla pero muy útil y rápida que te muestra los headers de entrada y salida tal cual como se envían por la red. Personalmente la uso cuando solo quiero ver como hace las peticiones alguna página, y darle una mirada rápida a vulnerabilidades tipo CSRF entre otras.

Tamper Data. Extensión que a diferencia de las anteriores, te permite modificar y agregar elementos cuando una petición se hace. Imagina… modificas tu cookie, los datos POST/GET de un formulario entre muchas otras cosas.

RESTTest: Esta extensión te permite hacer peticiones POST. Y es complemento ideal junto con Live HTTP HEADERS.

Creo que hay mas, sin embargo menciono las que creo que son mejores. Hace algún tiempo existían muchas herramientas para hacer este tipo de cosas, incluso algunos las programaban, con firefox ya no es necesario.

Algo se me hizo curioso hoy en kriptópolis, resulta que son el primer equipo o comunidad que colabora en el Proyecto para encontrar la mayor cantidad de colisiones SHA-1 en todo el mundo. Y superan ampliamente a la comunidad de elhacker.net.

Si hacemos memoria, una de las páginas mas antiguas del mundo “h4×0r” del habla española es elhacker.net. Alguna vez todos pasamos por sus foros, y yo recuerdo que de hecho es o era uno de los mas grandes de la red en aquellos tiempos.

Sin duda kriptópolis tiene muchos lectores (como yo :-D), pero no es tanto una comunidad…. elhacker.net yo diría que si…. y mas que comunidad esta llena por gente que le interesa esos temas o ¿sera que el sitio murio en la evolución 1.0 a 2.0 de la web?

No lo sé, hace mucho tiempo perdí el hilo con este sitio.