Seguridad Dimitrix

Seguridad informática

Nov 29

Vulnerabilidad Facebook

El “28 de Agosto de 2011″ publicamos en nuestro Facebook:

Proximamente publicaremos una gran vulnerabilidad en Facebook, pero primero tenemos que ser buenos y avisar a Facebook…

Contactamos con Facebook y no nos hizo caso.

Pasaron los meses y por miedo al mal uso que la gente pudiera hacer de él no lo publicamos.

Y ahora un ‘albañil’ dice haberlo encontrado (será de nuevo)…

Desde aquí no queremos quitar ‘Fama’ al Albañil, pero sí indicar ciertas cosas que le faltan.

—————-

La vulnerabilidad encontrada es de suplantación de identidad.

Es decir, podemos mandar un mensaje privado a otra persona de Facebook suplantando la identidad de un tercero.

Es decir podemos mandar un mensaje privado a ‘Maria’ y que aparezca que se lo ha enviado ‘Carlos’ o ‘Alberto’.

Para hacer esto simplemente tendremos que saber la dirección @facebook.com de la persona a la que queremos mandar el mensaje privado y también el email con el que se registró la persona que queremos suplantar.

Una vez hagamos esto simplemente tendremos que mandar un email (lo podemos programar en PHP) donde indicaremos.

$remitente= persona_a_suplantar@hotmail.com
$destinatario=a_quien_mandamos_el_mensaje@facebook.com
$el_mensaje=El mensaje…

¡Y ya está!

—————-

Lo que no cuenta las noticias ni el Albañil, es que Facebook si detecta que es falsificado y sale una alerta al usuario donde indica que puede tratarse de una suplantación.

Realmente la falsificación de email ha existido desde el propio email, no es nada nuevo ¿Nadie se acuerda con hotmail?

Aquí os dejo un pequeño esquema:

Siguenos en el Facebook.

Tagged with: facebook • mesajes privados • Seguridad • servidores • suplantación

Oct 07

XSS en registrador Brasileño (BraziUs)

Bug, Seguridad, web, xss No Comments »

Vemos que nuestros amigos del otro lado del charco no son muy buenos en seguridad tampoco…

Hemos conseguido explotar BraziUs en poco tiempo, además de tener muchos fallos más graves que un simple XSS.

http://www.brazi.us/cadastro_usuario.jsp?txtDominio=[XSS]

Me gustaría indicar que… Nosotros no atacamos a las webs, no las desfaceamos y en la mayoría de los casos avisamos a sus administradores. La única razón por la cual la publicamos aquí es para hacer entender a las personas la poca seguridad que existe en este momento en la red.

Sigue nuetas publicaciones desde nuesta página de Facebook:
http://www.facebook.com/#!/pages/Yo-también-soy-Fan-DIMITRIX/110339282319959

Tagged with: Brasil • brazilus • pagina web • Seguridad • xss

Sep 19

XSS en elhacker.com y elhacker.org

Seguridad, web, xss No Comments »

Curiosamente he encontrado una vulnerabilidad en elhacker.com /elhacker.org

Lo curioso es que la vulnerabilidad lo he sacado de un archivo .html que he sacado de un viejo portatil del 2005 que enlazaba a una sección de la página.

La vulnerabilidad reside en la variable action que va por GET.

http://www.elhacker.org/index.php?action=[XSS]

Sigue nuetas publicaciones desde nuesta página de Facebook:
http://www.facebook.com/#!/pages/Yo-también-soy-Fan-DIMITRIX/110339282319959

Tagged with: elhacker • elhacker.com • elhacker.org • hackear • Seguridad • vulnerabilidad

Ago 31

Producciones 6Doble

Seguridad, web, xss No Comments »

Ahora nuestro Dimitrix es Actor y se ha pasado por www.6doble.es

Aunque no es un banco ni una compañía ‘importante’ me gustaría intentar ‘explicar’ por que me ha interesado este fallo.

La vulnerabilidad del fallo, sí es de programación, pero solamente en parte, si nos leemos el ‘standar’ del HTML veremos que ‘obligatorio poner comillas a:
<img src=“http://server.com/foto.jpg“>

No obstante todos los navegadores, para ‘ayudar al programador’ aceptan que sea sin comillas, por lo que se puede ejectuar XSS que de otra manera no sería eficientes, puesto que por la programación saldrían así:
<img src= \“http://server.com/foto.jpg\“>

Tagged with: 6doble • navegadores inseguros • producicones • Seguridad

May 24

Spotify sin límites

Programa, web No Comments »

Bien, puesto que muchos usuarios usan ‘Spotify’ y ahora se han tenido que ‘aguntar’ por que lo han limitado, os mostraré un pequeño ‘truco’ para tener horas ilimitadas.

Y más que truco son ‘fallos’ que Spotify comete y que nos facilitan crear multi cuentas con un script.

Vamos a ver, para empezar hace falta saber las limitaciones de Spotify: 20 horas al mes de música gratuita.

Genial, la pregunta es ¿Por qué no hacerse varias cuentas? Las razones principales son las siguientes:

- Por que perdemos nuestra biblioteca de música y es un coñazo ‘crearla en cada cuenta’

- Por que tardas mucho en crear muchas cuentas, además de lo que necesitas emails

- Por que pueden bloquear por IP

- Es difícil y molesto organizarse las cuentas
Pues vale, vamos por partes:

Por que perdemos nuestra biblioteca de música y es un coñazo ‘crearla en cada cuenta’

Ciertamente si tenemos 5 cuentas de Spotify en cada una tendriamos música diferente ‘pero…’ gracias a que Spotify quiere ser más ‘social’, se puede compartir la bibliotecas.

Gracias a esto, tendremos una cuenta principal (por ejemplo) Cuenta01 en la cual tendremos nuestra música, nuestra biblioteca.

Entonces lo que hacemos es copiar el vínculo HTTP o el URI (Dirección interna), gracias a la cual la pondremos en otras cuentas spotify y si modificamos la cuenta Cuenta01 se modificarán las cinco.

Por que tardas mucho en crear muchas cuentas, además de lo que necesitas emails

Bien, realmente hemos hecho una prueba y hemos tardado 31 segundo para crear una cuenta ¿Por qué?

Gracias a los buenos de Spotify no hacen una validación de correo electrónico por lo que puede ser falso1@asdasd.com

Gracias a esto sólo tienes que poner el nombre de la cuenta, la contraseña y poco más. Total: 31 segundo.
Por que pueden bloquear por IP

Es cierto que ‘en pocas ocasiones’ se puede bloquear una IP durante un tiempo (no suele ser más de 24 horas), esto sucede más bien cuando se caduca una cuenta y después de crearse otra la pones en el mismo PC (si ya la tenías creada antes no pasa nada).

La solución es sencilla, create todas las cuentas de golpe o si lo que sea te pasa ¡Change IP!
Es difícil y molesto organizarse las cuentas

Es como la vida misma, yo por ejemplo mis cinco cuentas son (no son realmente estas):
Cuenta10
Cuenta11
Cuenta12
Cuenta13
Cuenta14
Cuenta 15

y tengo la misma contraseña para todas: qwerty
*Spotify no mira la fuerza de la contrasaña por la que puedes poner la que quieras*

Gracias a esto cuando se terminan las horas en la Cuenta13 me sale un mensaje de que se ha terminado y simplente doy a cerrar sesión, cambio el 3 por el 4, pongo la contraseña que es igual para todas y listo.

Ayuda para programadores

La web de Spotify tiene Ajax, si lo que pensais es hacer un programa y quereis saber si ya existe el nombre de la cuenta, con esta URL lo sabreis (podeis comprobarla por cUrl):

http://www.spotify.com/es/ajax/check_username?username=Cuenta01

SIGUIENOS EN FACEBOOK

Si quereis saber cuando sacamos actualizaciones nos podeis seguir aquí:
http://www.facebook.com/pages/Yo-tambi%C3%A9n-soy-Fan-DIMITRIX/110339282319959

Tagged with: ajax • crackeado • hack • límite 20 horas • multicuentas • saltar • Seguridad • spotify • vulnerabilidad

Nov 28

PepePhone.com: Desastres en seguridad informática

Seguridad, web No Comments »

Después de estar poniendo a prueba los sistemas de la compañía telefónica PepePhone, creada por AirEuropa en su línea ‘Pepe’, suspenden totalmente en la seguridad informática.

Aquí indicamos los principales fallos:

- No encriptación de Password, al contrario que todas las compañías normales que transforman la contraseña en un Hash MD5 o SHA1, pepephone las conserva en texto plano.

- Cambio de contraseña sin autorización del usuario. En muchos sistemas cuando seleccionas ‘He olvidado la contraseña’, te envían un enlace al email para poder cambiar la contraseña, pero no se te envía una contraseña nueva normalmente. La razón por la que no se envía (como le pasaba antes a Tuenti) es que ninguna otra persona cree un programa que genere una contraseña diferente de tú cuenta cada 5 minutos, pues bien, pepephone es vulnerable, se generan contraseñas aleatorias.

- Y el tercero y más importante es que en ciertas páginas se encuentra en el código fuente la contraseña en texto plano, por ejemplo en el apartado “Progama Habla y Vuela“.
En este Código fuente:

Tagged with: contraseña • pepephone • Seguridad • vulnerable

May 01

XSS en Tuenti parcial

Bug, Seguridad, Tuenti, xss 3 Comments »

Bueno, algo que vi hace tiempo es esta especie de XSS parcial, digo parcial por que no filtra etiquetas HTML, pero tienes muchos problemas para ejecutar código, sobretodo con el símbolo “=”

El XSS se encuentrae en la variable “id” que carga videos de youtube

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24

http://www.tuenti.com/#m=sharevideo&id=[XSS]

No obstante, primero tendremos que bloquear el script del video, para así poner nuestro nuevo códigos con menos problemas, yo hice esto

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24“></script>

Algo muy importante es que tienes que poner el ID de un video que funcione primero y después el código, el código que muestro en el video (que se puede ver como se desplaza la frase es el siguiente):

http://www.tuenti.com/#m=sharevideo&id=GvEh40Sd24″></script><hr><h1><big><marquee><center>SALUDO A TODOS DESDE TUENTI!, DIMITRIX!</center></h1><hr>

Seguramente, después de este post, pondré uno sobre seguridad, como saltarse algunas restricciones y otras cosas “Muy divertidas”

Tagged with: Bug • Seguridad • Tuenti • xss

Abr 26

Fallo en el Tuenti

Bug, Seguridad, Tuenti 9 Comments »

Este fallo consiste en una desconexión automática de la cuenta cada vez que se conecta el usario y ve su perfil o lo que quieras mediante un mensaje que le has introducido “maligno” por así decirlo, mejora aun cuando al “desconectarse” involuntariamente no puede borrar el mensaje ya que le da error por que no está logeado, así que siempre que entra se cierra.

El problema en cuestión se encuentra en que si accedes a “http://m.tuenti.com/?m=login&func=log_out” se cierra la cuenta, está creado para móviles, con el firefox se puede entrar sin problemas y con el Internet explorer te sale como para descargar así que no es que puedas navegar mucho, pero no pasa nada por que sólo queremos que se envie la solicitud y ni saldrá nada, así que veamos los pasos a seguir.

El primer paso es darse cuenta de que en Tuenti, pasa algo que no se puede poner llamar fallo por que muchas veces es muy útil, y es que al poner una imagen la reconoce automaticamente, pero lo único que hace es reconocer que hay un “http://” y un “.jpg” (u otra extensión de imagen aceptada), por eso la misma imagen la puedes poner de distintas formas:

http://www.dimitrix.es/dmx.jpg

http://www.dimitrix.es/dmx.jpg?variable=hola

http://www.dimitrix.es/dmx.jpg?

http://www.dimitrix.es/dmx?algo=.jpg

Esto puede pasar por dos cosas, una, por descuido de los programadores o por que en algunos servidores se da el caso de variable en php para por ejemplo poner imágenes aleatorias.

Entonces, sabiendo esto, lo único que necesitamos es unir las dos cosas:

http://m.tuenti.com/?m=login&func=log_out&img=dimitrix.jpg

Esta vez ponemos “&” y no “?” por que estamos uniendo más de una variable, con esta url, simplemente lo dejamos en el tablón de un amigo y cada vez que entre se le cerrará y si intenta borrar el comentario no podrá por que se habrá cerrado la sesión y le dará error.

Una vez, lo pongamos al no ser una imagen, NUNCA se cargará y se quedará parado así:

Presione en la imagen para hacerla grande

Bueno, aquí ya estariamos jodiendo a la persona que tiene ese tuenti haciendo que se deconecte cada vez y a los que visitan su perfil.

Solución:

Vas a tu tablón y le das al botón borrar y cuando te salga lo de si estás seguro, abres otra ventana del navegador y entras a www.tuenti.com y te logeas (ya que se habrá cerrado la sesión), una vez logeado NO pasas a ver el tablón ni tocas nada, regresas a donde decía borrar si querías o no y le das a “Aceptar”, entonces el comentario se borrará.

Siendo más cabrón:

También esto se puede hacer en campañas de publicad que ponen, pones eso y todos los que vean el anuncio (miles y miles de personas) se les cerrará la cuenta ya que nadie podrá escribir comentarios nuevos por que se les cerró la sesión y no pueden borrar los comentarios escritos por ti.

Autor: Dimitrix

Tagged with: Bug • Seguridad • Tuenti