elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Twitter AuthBruter		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Twitter AuthBruter  (Leído 2,972 veces)
franc205

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Twitter AuthBruter
« en: 10 Febrero 2016, 04:41 am »
Hola a todos!

Estuve investigando acerca del funcionamiento de las cookies en twitter y note que solo se utiliza una cookie llamada auth_token para ingresar, la cual es un hash (SHA1).
Por eso decidí programar un Script en Python que genere Hashes de manera aleatoria y realice peticiones al servidor de Twitter con los distintos Hashes, y en caso de encontrar un Hash que pertenezca a una cuenta avise (Las probabilidades de encontrar un Hash que pertenezca a una cuenta son bajas).

También, si se tiene acceso al celular de la victima (Por Ej. Usando StrageFight),y se puede entrar en /data/data/com.android.twitter/app_webview/Cookies, y ver que ahi una base de datos SQLite (No cifrada por supuesto) la cual puede almacenar el Auth_Token de la victima (en caso de que haya visitado una pagina Web que lo hubiera solicitado).

Link del Script: https://github.com/franc205/AuthBruter

Espero que les sirva!
Saludos!
En línea
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Twitter AuthBruter
« Respuesta #1 en: 11 Febrero 2016, 21:48 pm »
está interesante, aunque el sistema normal es ese tipo de cookie/hash (muchas veces lleva de fondo una verificacion de ip y navegador, así que habría que analizar eso), sin embargo, un ataque de fuerza bruta a un hash (especialmente un sha1) es practicamente inviable debido a la cantidad de posibilidades (2160) tomando en cuenta, que teniendo una cantidad de dispositivos conectados simultaneos de 1.000.000 (equivalente a 220), solo tendrías 1:1140 de dar con un sha1 valido
En línea
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Twitter incorpora servicio de geolocalización con Twitter Places
Noticias 		Novlucker 1 2,856 Último mensaje 15 Junio 2010, 20:39 pm
por MazarD
Actualización de Twitter: aplicaciones y acortador de url de Twitter
Noticias 		wolfbcn 0 2,835 Último mensaje 24 Septiembre 2010, 03:02 am
por wolfbcn
search.twitter.com se convierte en twitter.com/search
Noticias 		putus 0 2,292 Último mensaje 26 Julio 2011, 16:34 pm
por putus
Twitter
Foro Libre 		ENCUENTROSWEB 3 1,748 Último mensaje 28 Septiembre 2011, 17:19 pm
por [u]nsigned
(twitter caabrones) Twitter ataque de un hacker mexicano a españa
Foro Libre 		Valium7 4 3,717 Último mensaje 30 Agosto 2012, 19:15 pm
por WIитX
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines