jueves, 20 de diciembre de 2012

Enfadando a usuarios de Mozilla Firefox }xD

Bueno, hoy os dejo una entrada cortita y simple, pero es mejor que nada }:)

Hace algún tiempo quise hacer una pequeña web de broma que no te dejase salir de ella haciendo que saliesen infinitos "alerts" de javascript.. El problema es que los nuevos navegadores al aparecer el primer alert te dan la posibilidad de bloquear los siguientes.. }:(

Asique me de di cuenta de que si el alert se carga a través de un iframe y de una pagina diferente a la de los demás alert el navegador no los bloquea.. Así que con un poco de creación dinámica de webs y javascript podemos hacer lo siguiente:

Con Javascript nos hacemos un bucle infinito o finito, como cada uno quiera, y en este bucle vamos creando nuevos "iframes", y usando la creación dinámica de webs hacemos que ese iframe contenga un alert. Os dejo el código para que lo entendáis mejor:

<script>

function poc(){
    for(i=1;i<21;i++){
        var iframe = document.createElement("iframe");
        iframe.id = i;
        iframe.style.display="none";
        iframe.src = 'data:text/html;base64,PHNjcmlwdD5hbGVydCgiT2xhIGsgYXNlPyIpPC9zY3JpcHQ+';
        document.body.appendChild(iframe);
    }
}

</script>


Como podéis ver en la propiedad "src" le metemos el código para la creacion dinámica de la web en base64. El código en base64 basicamente el javascript del alert, creo recordar que era algo así:
<script> alert("Hola"); </script>

Ese es el código que contiene codificado en base64.
Bien, pues usando esto en una web, tendremos muchos iframes, hacia webs diferentes que cargan un alert, y el navegador no puede bloquear los alerts.
Y no solo no puede bloquearlos, sino que en Mozilla Firefox es el navegador el que se queda bloqueado y no responde, teniendo que reiniciar el navegador... Como veis esto último ha sido lo que quería enseñaros de verdad.. }xD

Os dejo un link para que veáis esto en funcionamiento: http://segura2010.16mb.com/iphone

Y hasta aquí la entrada de hoy, no tan dedicada a la seguridad, pero creo que es algo interesante y divertido para pasarselo a tus amigos.

lunes, 17 de diciembre de 2012

"Jugando" con Comunio

Buenas a todos, hoy os hablaré de Comunio, un juego de futbol que... no tengo ni p*** idea de como va, pero como lo conozco de ver gente que juega pues dije "Vamos a ver que cosilla chulas se pueden hacer!". Y aquí estoy, contándoos que he encontrado en el. :)

No ha sido mucho, ya que no he conseguido ningun XSS, pero si que he encontrado HTML Injection, que consiste en lo mismo que el XSS pero en este caso no se puede usar JavaScript. Así que aprovechando que se pueden meter etiquetas HTML como DIV, IMG o MARQUEE pues se me ocurrió contaroslo y echar un rato divertido ;)

Aquí os dejo un bonito DIV, que jugando con las propiedades CSS, puede ser divertido y molesto para otros usuarios de nuestra liga.

Esto se consigue en el panel de noticias, agregáis vuestra noticia con el código deseado y voila! A divertirse!
También se puede personalizar así vuestro perfil o el de vuestra liga colocando código en la descripción.
Os pego el código que usé yo:
<div style="width:100%;height:100%;z-index:999999999999px;top:0px;left:0px;position:fixed;background-color:black;font-size:40px;display:block;"><br><br><br><div align="center">i am sorry!<br><br><br><img src="http://4.bp.blogspot.com/-NTJjX7MtWfo/T_iaJCa1fuI/AAAAAAAABfc/fBFDwDzmecA/s1600/xdpin-752278.jpg"></div></div>

También se pueden tomar prestadas la cookies haciendo uso de enlaces con código de creación dinámica de webs, es decir, enlaces del tipo:
<a href="data:text/html;base64,codigo_HTML_codificado_en_base64">Link</a>

Podéis ver más información de estos tipos de enlaces y demás en esta entrada del gran Chema Alonso:  http://www.elladodelmal.com/2012/12/roundcube-ii-nuevos-vectores-para.html

Y por hoy esto es todo, a ver si esta navidad tengo algo de tiempo para dejaros mas entradas. Miraré a ver si encuentro algún XSS chulo en Comunio!
No seáis malos! :P

miércoles, 12 de diciembre de 2012

Guarda los tweets de cualquier usuario

Bueno, hoy os traigo una pequeña utilidad escrita en Python y hecha por mi para que podais descargar  los tweets del usuario que querais.

Os dejo el enlace al repositorio en GitHub: https://github.com/segura2010/Saving-Tweets

Soy novato programando en Python, si tenéis recomendaciones para mejorar la utilidad comentadlo! :)

miércoles, 28 de noviembre de 2012

"Rompiendo" el Whatsapp de tus amigos.

Buenas a todos!
Hoy os voy a enseñar como dejar pillado el Whatsapp a tus contactos. Esto se produce por un fallo en la programación de Whatsapp que produce que cuando enviamos cierto mensaje cargado de emoticonos la app empieza a ir muy lenta y tenemos que salir de ella. Esto es una buena forma de gastar algunas bromas a nuestros amigos, ya que puede ser realmente molesto, pues no basta con cerrar la app, sino que deberás de reinstalarla o eliminar el historial para que la app no cargue mas el mensaje.

Antes que nada decir que la app se queda pillada en telefonos Android, en iPhone (iOS) solamente se cierra la app cuando entramos a la conversación en la que se encuentra el mensaje. No he podido probarlo en otros sistemas.

Y ahora os dejo la imagen del mensaje que debeis enviar:

Ese es el mensaje que debes enviar, esos emoticonos (negro y blanco, negro y blanco) una y otra vez, cuantas mas mejor (en un mismo mensaje)!

ACTUALIZACION: Para los que no teneis esos emoticonos os los dejo en este tuit para que los copiéis y peguéis directamente: https://twitter.com/segura201093/status/273804873185763328

Creo que con otro también funciona, pero no estoy seguro.

Y esto es todo por hoy! No seais malos y no hagais muchas bromas con esto!! :P

PD: Agradecería que comentaseis si os ha funcionado en otras plataformas y demás :)

miércoles, 21 de noviembre de 2012

XSS en 500px.com

Hola a todos!
En esta entrada os dejo un fallo XSS en la web http://500px.com . Quizá no la conozcáis, es una web parecida a Instagram. En ella puedes subir tus fotos para que el resto de usuarios la vean, la voten etc.. y también puedes vender tus fotos :)

Bueno, pues os dejo el PDF del reporte! (en ingles): http://dl.dropbox.com/u/60013026/500px.pdf

Bueno, hasta aquí la entrada de hoy! Nos leemos en la próxima! ;)
Por cierto, comentad vuestras opiniones y sugerencias!

sábado, 17 de noviembre de 2012

Dejando KO a móviles Android con LINE

Buenas a todos!
Hoy os cuento un bug de LINE, la nueva aplicación que quiere competir con Whatsapp.



El otro día mientras la probábamos @MBAMIME y yo, encontramos un bug en la app para Android. El bug se produce cuando el móvil Android nos hace una llamada desde LINE. Cuando recibimos la llamada dejamos que suene un ratito y pulsamos "Answer" (responder) y rapidamente al responder en cuanto aparezca que esta conectando y aparezca el boton "END CALL" le damos en END para finalizar la llamada. Es decir, respondemos y en cuanto aparezca el boton de finalizar la llamada le pulsamos, solamente una vez! En ese momento nuestro móvil acabará la llamada y el móvil que nos llamó que usa android quedará bloqueado esperando conectar. No hay manera de volver a hacer que el móvil responda, solo se puede reiniciar.
Si lo hacemos al revés con un dispositivo iOS (iPhone) la app también se queda como bloqueada y no responde, pero en este caso si se puede cerrar pulsando Home y sacandola de la multitarea.

La prueba fue con un iPhone 4S iOS 6.0.1 y un Samsung Galaxy S SCL con Android 2.6 . No hemos podido probar con otras versiones de Android ni con otros dispositivos, asique si ustedes pueden probarlo y comentar si también se produce este bug se lo agradecería :)

Y esto es todo por hoy.
Si lo prueban y funciona en otros dispositivos Android no hagan muchas bromas!! :P

martes, 13 de noviembre de 2012

Defcon 20

Hola a todos!
Hoy os traigo todo el material de la 20º edición de la Defcon, una de las más viejas y populares convenciones de Hackers del mundo. Se llevó a cabo los días 26, 27, 28 y 29 de Julio de este año.

Gracias al blog de seguridad informática (y de informática en general) CyberHades tenemos los materiales: http://www.cyberhades.com/2012/11/13/material-de-la-defcon-20/

Os dejo también el enlace al video de YouTube de la exposición del gran Chema Alonso!
http://www.youtube.com/watch?v=2HTiHdezBTY
Blog de Chema Alonso: http://www.elladodelmal.com/

Nos leemos en la próxima! :)

sábado, 10 de noviembre de 2012

Fallos XSS Tuenti [Canales]

Hola a todos!
Os dejo los fallos XSS de Tuenti que os dije en la anterior entrada, pero antes tengo que contaros lo ocurrido.
El viernes 2 de Noviembre reporté un fallo de seguridad en los canales de páginas de Tuenti, que es el que os pondré al final de la entrada en PDF para que lo veáis. Ese mismo día lo arreglaron y también encontré otros dos fallos que tenían que ver también con los canales de páginas Tuenti. Como ya os dije en la anterior entrada, he estado trasteando con los fallos para ver hasta que punto se podía llegar.
Hasta este jueves 8 de noviembre he podido investigar un poco estos fallos, pensaba reportarlos hoy y publicarlos en cuanto se arreglasen, pero como digo, el jueves por la tarde comencé a recibir visitas a mi perfil de Tuenti, llegando a recibir 14 visitas en unos 20 minutos, algo que me pareció bastante raro pues la media de visitas a mi perfil es de 1 o 2 a la semana. Por la noche me puse a seguir trabajando con lo fallos, ¿y que pasó? Pues que de repente los fallos habían sido corregidos, sin reporte ninguno. Uno de los fallos tenia que ver con el estado y el panel de novedades, como ya os dije, el otro estaba en los mensaje privados. El de los mensajes privados nadie lo conocia, solamente yo.
Asique no se que hubieseis pensado vosotros pero yo la única explicación que encuentro a todos estos acontecimientos es la siguiente:
Los administradores de Tuenti estuvieron visitando mi perfil para intentar ver que fallos había descuebierto. Posiblemente no pudieron ver nada, asique entraron a mi cuenta y seguramente miraron algún registro de mis estados para ver donde estaba el fallo de los estados. Al entrar a mi cuenta me miraron los privados y descubrieron el fallo de seguridad de los privados. Una vez conocidos los fallos los arreglaron.

Esta es la historia, no tengo pruebas pero es la única explicación que tengo para esto.
Y ahora os explico los fallos!

Os dejo el pdf del primer fallo que si pude reportar a Tuenti, del resto no puedo dejar pdf por que no lo tengo preparado, os explico más abajo en que consistían.


El primer fallo tiene que ver con el estado, como ya os dije, y es que usando el link del canal de página y publicándolo usando el estado, cuando tus amigos ven tu estado se inyecta el código del nombre del canal en su panel de novedades. Así de simple.

El segundo es igual pero en los mensajes privados. Mandas un mensaje privado con el enlace a los canales de una pagina con código y este se inyecta el abrir el privado.

Todos estos fallos se producen por que Tuenti automáticamente pone mas "bonito" el link y no lo muestra, sino que muestra una fotito del vídeo  añadiendo información como las visitas y el nombre de canal en el que esta el video, que en nuestro caso el nombre de canal coincide con el nombre de la página, que es código.

Y esto era todo. Si tenéis alguna duda o sugerencia dejad comentarios o poneos en contacto conmigo a través de mi Twitter.
Nos leemos en la próxima, en la que probablemente os enteréis de los fallos antes que Tuenti, si quieren conocerlos antes, que cotilleen mi perfil ;)

miércoles, 11 de julio de 2012

Nuevo Tuenti!

Buenos días! Hoy Tuenti presenta su nuevo diseño, el #NuevoTuenti. Y este ya esta impementado en la web corporativa de Tuenti, y con el novedades en la web, una de ellas es que por fin se  ha añadido el Hall Of Fame de Seguridad, en el que como ya os conté sale mi nombre!! :D

Os dejo el enlace: http://corporate.tuenti.com/es/dev/hall-of-fame

Hasta un rato! ;)

martes, 10 de julio de 2012

Nuevo XSS Tuenti [Sitios]

Después de mucho tiempo sin publicar por culpa de los examenes vuelvo a publicar ahora que ya he acabado los examenes! :)
Hoy les dejo un fallo XSS permanente en los sitios de Tuenti. ya esta arreglado :)

Les dejo el pdf con imagenes y la explicación: https://dl.dropbox.com/u/60013026/Informe%5BSitios%5D.pdf

Espero, ahora que tengo algo mas de tiempo, poder escribir con mas frecuencia!
Gracias por leer!

viernes, 1 de junio de 2012

Fallos XSS Tuenti (II)

Hola!
En mi anterior entrada de hace unos días, os hable sobre unos fallos de Tuenti. Bien, les envié un email con el pdf que publico al final de esta entrada. Su respuesta fue la siguiente:
_______________________________________________________________________
Gracias por la notificación. Hemos analizado los fallos reportados, y
ambos son del tipo self-inflicted XSS, por lo que no son de alto
riesgo (no afectan ni se pueden lanzar contra terceros usuarios).

Por ello los arreglaremos como parte del proceso de release habitual
(puede tomar una semana o dos), no por la vía urgente de los fallos de
seguridad.
_______________________________________________________________________
Hoy voy a publicar en esta entrada estos fallos y debo decir que hoy, en este instante, siguen existiendo estos fallos. Pero bueno, no debemos preocuparnos... si Tuenti no le preocupan pues a nosotros tampoco ;)

Debo decir que es cierto que los fallos no ponen en riesgo los datos de los usuarios... al menos en principio, ya que como os daréis cuenta, con un poco de ingeniería social podemos conseguir tomar prestadas las cookies de un usuario. Pero bueno si Tuenti dice que no y que no es un riesgo, pues no seré yo el que les haga la contra, pues soy un novato y cualquiera de los trabajadores de Tuenti tiene muchisima mas experiencia y conocimientos que yo.
Y no me enrollo mas, os dejo el pdf, juzguen ustedes mismos.

PDF: http://dl.dropbox.com/u/60013026/Informe%20Fallos%20XSS%20Tuenti.pdf
Además os dejo el codigo que se usa por si no lo veis bien:
El de estados: <img src=k onerror="alert('Hola');">
El de albums de fotos: <img src=k onerror="alert('Hola');">

Nos leemos próximamente con fallos en Gogear.com y RTVE.es

lunes, 28 de mayo de 2012

Cuanto tiempo!

Holaa!
Primero pedir disculpas por no escribir en tanto tiempo... a partir de hoy intentaré escribir de vez en cuando y no dejar tan abandonado el blog... pero estoy en época de examenes y me va a ser difícil... tengo unos cuantos XSS de varias webs conocidas y poco a poco iré informando por aquí de ellos, pero antes tengo que reportarlos! :)

Acabo de enviar un email a Tuenti reportando unos fallos XSS, calculo que para el miércoles podré publicarlos como muy tarde.
Hasta entonces!

miércoles, 9 de mayo de 2012

Mi nombre en el Hall of Fame de Tuenti

Ayer inauguré el blog ... y hoy a ocurrido algo que aunque no sea mucho, anima aun mas a seguir haciendo esto, a seguir interesándome y aprendiendo en esto de la seguridad...
Hoy he recibido un email de Tuenti para confirmar el mi nombre para que este aparezca en su Hall of Fame de Seguridad. Algo que como ya he dicho no es mucho pero tampoco es poco... hay que currarselo un poco... y mas si eres un novato! jejeje
En cuanto tenga novedades os dejaré un link para que lo veáis! ya que aun no hay Hall of Fame de Tuenti...

Por cierto, esto me recuerda que tengo que enviar otro fallo de Tuenti que después de que lo arreglen publicaré por aquí! Asique hasta pronto!! Nos leemos!

PD: Os dejo el mensaje! ->


You receive this email because you reported in a friendly and ethical
way some security issue in Tuenti, leaving us enough time to fix the
vulnerability before public disclosure.

We want to thank you again for you help to make Tuenti a more secure
platform, and we will be glad and proud to add our name to our
Security Hall of Fame.

Soon Tuenti will be adding that section to our corporate website. If
you are interested and give us permission, we will include your name
as a Q1'2012 contributor. Please, confirm with which name you want to
be included in the list.

Kind regards, 
 -------------- 
 Recibes este mensaje porque has reportado de forma ética y responsable
alguna incidencia de seguridad en Tuenti, y nos has dado el tiempo
suficiente para corregirlo antes de hacerlo público.

Queremos agradecerte de nuevo tu ayuda para hacer de Tuenti una
plataforma más segura, y estaremos orgullosos y encantados de incluir
tu nombre en el Hall of Fame de Seguridad.

Pronto Tuenti añadirá dicha sección a la web corporativa. Si estás
interesado y nos das permiso, incluiremos tu nombre como colaborador
en el 1er trimestre de 2012. Por favor, confirma con qué nombre deseas
aparecer en la lista.

Un saludo,


Aqui venia información de la persona que lo envió... que no la daré ;)

martes, 8 de mayo de 2012

Uno de mis primeros "Proyectos"

Para empezar os dejo unos fallitos que encontré hace algún tiempo en la red social Tuenti:
http://dl.dropbox.com/u/60013026/Informe%20XSS%20Tuenti.pdf

Espero les guste!


Bienvenido!

Bienvenidos todos! Creo este blog por que me ha gustado mucho el blog de Chema Alonso (http://elladodelmal.com) y lo que hace, asique me he decido a crear un blog con todo lo que yo vaya haciendo en esto de la seguridad informática. Intentaré mostrar el desarrollo desde un novato en esto de la seguridad hasta lo que algún día pueda a llegar ser.
Como indica el titulo del blog mis conocimientos actualmente no son demasiados, soy un novato, pero todos, hasta los mejores como Chema Alonso, han pasado por esta fase, la de empezar a aprender y a interesarte esto, empezar a picarte la curiosidad de como funcionan las cosas y como romperlas (para el bien siempre... xD ). Por todo esto pido que no seáis muy duros conmigo, solo intento aprender y reflejar aquí como voy a aprendiendo que uso y otras cosas interesantes que vaya descubriendo!

Muchas Gracias por leer! Espero ir haciendo entradas poco a poco! ;)