Hoy en un Internet muy diferente a sus inicios. Seguimos viendo como aparecen nuevas formas para introducir malware en los usuarios. Quizás las técnicas no han cambiado mucho, ahora son mas ingeniosas pues el usuario ya es más educado y cuidadoso.
Si eres de los que les interesa estar protegidos contra los virus, protegerte y estar actualizado de los bugs y vulnerabilidades de software puedes encontrarlo en este blog sobre seguridad informática.
A titulo personal, creo que es un buen sitio de mucha calidad. Por que el autor o autores escriben buenos artículos y yo que en un tiempo me dedique a esto se me hizo muy interesante.
Tienen muy buenas reseñas sobre lo ultimo de Internet en estos temas. Sobre todo de antivirus gratuitos. Lo recomiendo ampliamente para tenerlo y subscribirte en su feed.
El tema de ayer en twitter y la blogosfera fue el robo de identidad a Christian Van Der Henst, y sus dos principales sitios forosdelweb y maestrosdelweb.com. Y goddady y su pésimo soporte en este caso, como dice pablasso es increíble que no te permitan validar tu identidad para demostrar que tu eres el verdadero dueño de esos dominios, y que son mas de 10 años de tu propiedad.
En mi opinión, el robo no es por parte de un Script Kiddie que quiera llamar la atención, pues ya lo hubiera hecho. Para mi es alguien que conoce a Christian por la manera en que actuó y que realmente quiere joder al no limitarse a obtener los dominios, si no todo lo que tenga que ver con el.
No queda mas que apoyar a todo el equipo y seguir ejerciendo presión a estas empresas que faltan a uno de los principales principios de competencia, la satisfacción del cliente.
Ya se que la mayoría de ustedes son unos gurús de la programación. Este truco es el claro ejemplo de como burlarte protecciones hechas enteramente en Javascript.
La serie de trucos para rapidshare consiste en no esperar para la descarga. Para ello solo ve al link y cuando estés esperando la descarga pones en la barra de direcciones(donde pones la URL de la página) el siguiente código.
javascript:alert(c=1)
Curioso una variable llamada C de counter?. Como sea, lo interesante es si Rapidshare fuera tuyo que harías para proteger el contador de estas cosas.
Así existen muchas páginas con las que se pueden jugar. Recuerdo el caso de nipper con el que podías obtener miles de puntos ejecutando funciones de Javascript o el truco para editar cualquier página web y presumir que eres un super hacker.
Hoy en la mañana me aviso un amigo que algo raro le sucedía al sitio del Tecnológico de Morelia. Pues al parecer alguien la vulnero y puso una página con links a descargas de archivos tipo .rar y en el final de la pagina la leyenda “MADE IN CHINA”. Es obvio que es lo que paso aquí, sin embargo no profundizare hasta que la institución solucione este ataque.
Free From MaGnUm-X WTF?
En fin, aquí unas capturas.
Una buena herramienta para cuando no estamos en nuestra máquina y necesitamos sacar información de alguna página al estilo Firebug es XRAY, un SCRIPT en Javascript que se encarga de dar este tipo de información.
Para utilizarlo, solo necesitas estar en cualquier página y poner este código en la barra de direcciones.
javascript:function%20loadScript(scriptURL)%20{%20var%20scriptElem%20=%20document.createElement('SCRIPT');%20scriptElem.setAttribute('language',%20'JavaScript');%20scriptElem.setAttribute('src',%20scriptURL);%20document.body.appendChild(scriptElem);}loadScript('http://westciv.com/xray/thexray.js');
Una potente herramienta que muestra el potencial de javascript, sin embargo a mi opinión este tipo de prácticas son peligrosas. Ya que estamos ejecutando código externo que puede ser maligno(no digo que este sea el caso)… y a eso se le llama XSS.
Solo como comentario, hoy en día hay que tener cuidado.
Vía: anieto2k
Para andar probando y desasiendo las peticiones HTTP, yo utilizo firefox con algunas extensiones. Aunque hace algún tiempo publique un articulo sobre el Hacking Ético con firefox, hoy pongo algunas nuevas herramientas para el jugar con HTTP.
Firebug. Esta extensión que para mi es cómoda a la hora de desarrollar aplicaciones con AJAX, ya que muestra las peticiones de forma ordenada y estructurada. También por orden de ejecución y que archivo y linea están ejecutándola. Esta forma de hacerlo es lo que hace a firebug una gran herramienta a la hora de andar programando con javascript. Yo me pregunto ¿Qué desarrollador no usa firebug?.
Live HTTP Headers. Una aplicación sencilla pero muy útil y rápida que te muestra los headers de entrada y salida tal cual como se envían por la red. Personalmente la uso cuando solo quiero ver como hace las peticiones alguna página, y darle una mirada rápida a vulnerabilidades tipo CSRF entre otras.
Tamper Data. Extensión que a diferencia de las anteriores, te permite modificar y agregar elementos cuando una petición se hace. Imagina… modificas tu cookie, los datos POST/GET de un formulario entre muchas otras cosas.
RESTTest: Esta extensión te permite hacer peticiones POST. Y es complemento ideal junto con Live HTTP HEADERS.
Creo que hay mas, sin embargo menciono las que creo que son mejores. Hace algún tiempo existían muchas herramientas para hacer este tipo de cosas, incluso algunos las programaban, con firefox ya no es necesario.
Algo se me hizo curioso hoy en kriptópolis, resulta que son el primer equipo o comunidad que colabora en el Proyecto para encontrar la mayor cantidad de colisiones SHA-1 en todo el mundo. Y superan ampliamente a la comunidad de elhacker.net.
Si hacemos memoria, una de las páginas mas antiguas del mundo “h4x0r” del habla española es elhacker.net. Alguna vez todos pasamos por sus foros, y yo recuerdo que de hecho es o era uno de los mas grandes de la red en aquellos tiempos.
Sin duda kriptópolis tiene muchos lectores (como yo 
), pero no es tanto una comunidad…. elhacker.net yo diría que si…. y mas que comunidad esta llena por gente que le interesa esos temas o ¿sera que el sitio murio en la evolución 1.0 a 2.0 de la web?
No lo sé, hace mucho tiempo perdí el hilo con este sitio.