elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


  Mostrar Mensajes
Páginas: 1 ... 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 [44] 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 ... 437
431  Sistemas Operativos / Windows / Re: Se me bloquea ratón y teclado al iniciar windows en: 9 Octubre 2017, 06:28 am
No dije yo :-/ , así el tio rando quería poco menos que formatear el pc o instalarle diez mil cañonadas xD
432  Seguridad Informática / Nivel Web / Re: Firefox es inseguro contra ataques XSS reflejados? en: 30 Septiembre 2017, 20:28 pm
Pues ese tema de los filtros es muy muy extenso, pero si te puedo dar algunos tips.

¿Cómo google chrome, Internet explorer e IIS saben que deben detener un XSS y no un falso positivo?, utilizan dos técnicas:

* El filtrado
* Comparación I/O

Esto quiere decir que existen dos capas antes de llegar al bloqueo, el filtrado es cuando detectan que tu solicitud http ya sea en el request o en el body de la petición viene una mezcla de carácteres inseguros (payload), como por ejemplo etiquetas html, para esto la mayoría usan expresiones regulares, chrome es un poco mas complejo ya que usa otro tipo de filtrado donde evalua caso a caso los caracteres. Ahora, que detecte un contenido HTML no quiere decir que necesariamente sea un ataque por lo cual viene una segunda capa que es la comprobación I/O, o sea input de entrada v/s output de salida, si el contenido que retorna el sitio WEB contiene parte del contenido malicioso detectado por el primer filtro (o sea, si pongo un <script> en la url y aparece en el código devuelto por el sitio web) entonces ahi recién detiene la carga del sitio y alerta de un posible ataque de tipo XSS.

Ahora, con respecto a esto, donde la mayoría de las personas erran es intentar bypasear la primera capa la cual está lleno de reglas fuertes, bypaseables pero fuertes en ves de buscar bypasear la segunda capa y ahi es donde viene lo entretenido.

Por ejemplo, supongamos un escenario de un sistema que me tocó ver el mes pasado: Existe una compañía donde por norma de Active Directory todos los usuarios de la organización que usan windows solo pueden utilizar Google Chrome para mitigar los ataques de tipo XSS utilizando el filtro nativo pero tienen un portal WEB con un XSS y nos tocó comprobar que esa capa de protección de Google Chrome no era suficiente. El problema consistía en que el sitio WEB vulnerable tenía un XSS en una sección donde se podian guardar comentarios de páginas, el proceso era el siguiente:

Estabas en el sitio web y querias postear un comentario -> Este comentario era enviado por Ajax/javascript al servidor a traves de una petición post, el servidor solo devolvía un mensaje "OK", -> luego javascript al saber que el servidor retornó ese OK refrescaba el contenido de los comentarios apareciendo el comentario insertado. Bueno, esto era vulnerable a un XSS persistente.

[          Usuario envía comentario         ]
                      ↓
[            javascript: HTTP/POST          ]
                      ↓
[ Detección Google Chrome: Input: positivo  ] <-
                      ↓
[              Solicitud HTTP               ]
                      ↓
[    Respuesta WEB: "OK" text/plaintext     ]
                      ↓
[ Detección Google Chrome: Output: negativo ] <- !!


¿Donde estaba el problema? que Google Chrome perdió la segunda capa de validación debido a que el sistema WEB no retorna el contenido enviado, por lo cual para el navegador no hay ataque y tampoco tiene como saber que el contenido HTML que aparecerá después en un comentario fue el ingresado en la solicitud HTTP/POST.

Explotación: se ćreó un formulario html oculto dentro de una página de pruebas y al momento de ingresar este se enviaba al sitio web con el contenido HTML a insertar en el comentario (XSS), el sitio web original al solo responder un "OK" imposibilitó a Google Chrome entender si se trataba de un ataque o no por lo cual no lo detuvo, luego de esto el mismo sitio web de pruebas redireccionó al usuario hacia la página de comentarios para que le apareciese el XSS y listo!

Como ves, el filtro anti XSS no sirvió de nada porque para detener ataques de debe cumplir todo un flujo y puedes interrumpirlo en diferentes partes no solo bypaseando reglas.

Por otro lado si colocas un caracter que el contenido HTML no imprime entonces tampoco lo detecta, por ejemplo: <script>/*%01*/alert(0);</script> ya que el filtro esperará a que aparezca toda la cadena no solo una parte de ella y en la mayoría de los servidores webs estos caracteres no se interpretan como por ejemplo .net sobre IIS., también es posible crear un bypass utilizando filtros de eliminación de caracteres nativo como un censurador de palabras, por ejemplo si te censuran "fuck" entonces escribes: <scrifuckpt>alert(0)</script>, entonces el filtro esperará a que la etiqueta completa aparezca en el contenido HTML para detectar si realmente fue un ataque pero como el sistema WEB eliminó la palabra censurada dejó al descubierto la etiqueta script.

Y de esta manera hay muchas maneras de bypasear filtros, otra manera es creando etiquetas personalizadas no estandarizadas pero si interpretables abusando de la tecnología que vienen en todos los navegadores WEBs sobre la "tolerancia a errores", por ejemplo: <x style="position:absolute;left:0;width:100%;height:100%;background-image:url(http://...phishing.jpg)"> ya que la etiqueta x no existe, por lo general tanto google chrome como internet explorer y mas del 90% de los waf solo buscan etiquetas conocidas ya que se apegan mucho al estandard de la w3c, pero no funcionan como un navegador web el cual interpreta contenido, los navegadores no funcionan de manera tan estricta como un waf y ahi es donde es posible aprovecharse para realizar un bypass.

En fin, podría estar todo el día sobre como bypasear filtros anti xss, aunque tampoco quiero decir que sean un desperdicio, respeto mucho a la gente que hace estos tipos de filtros porque se requiere mucho conocimiento y dedicación, a demás si frena ataques básicos, pero nunca será algo efectivo como para depositar la confianza en ellos.

Artículos sobre esto? pues no conozco muchos, he visto uno o dos en pdf escritos en ingles y la verdad es que entiendo poco porque no me gusta el inglés. Pero deben haber muchos dando vuelta por internet, basta buscar sobre "xss filter bypass", hay algunos de defcon y otros de whitehat.

No conozco tu interés en conocer del tema pero si buscas como atacar averigua más, pero si buscas como solucionar entonces no pierdas tu tiempo y enfócate en como aumentar la productividad y seguridad en los aplicativos con buenas prácticas.

Saludos.
433  Foros Generales / Noticias / Re: ¿A cuántos usuarios podría Movistar ofrecer 1 Gbps simétrico ya mismo? en: 30 Septiembre 2017, 19:00 pm
Será solo en algunos lados, aca en chile la cobertura es pesima, donde vivo (uno de los sectores mas poblados de chile) no llega mas de 4mb comerciales. Acá lo mas rápido que llega es VTR.
434  Foros Generales / Noticias / Re: FIFA 18 ha sido crackeado en menos de un día, ¿es el fin de Denuvo? en: 30 Septiembre 2017, 18:56 pm
Me recuerda la historia de Themida.
435  Programación / Desarrollo Web / Re: Recargar un include de php cada 5 minutos en: 30 Septiembre 2017, 18:45 pm
Normalmente eso es una mala práctica, lo que debes hacer es ir a buscar los datos con ajax y modificar los datos de manera dinámica en el sitio web desde javascript o si quieres desplegar información en tiempo real debes usar websockets.

http://www.phpbuilder.com/articles/application-architecture/optimization/creating-real-time-applications-with-php-and-websockets.html
http://socketo.me/
436  Seguridad Informática / Nivel Web / Re: Firefox es inseguro contra ataques XSS reflejados? en: 29 Septiembre 2017, 15:33 pm
Los filtros anti xss son solo una mitigación y no una solución, eso quiere decir que te ayudan pero no te solucionan un problema, de hecho si buscas en la pagina oficial de microsoft ni si quiera ellos recomiendan que la gente confíe en sus filtros anti xss del lado del servidor y del navegador.

Te puedo decir que hoy todos los filtros antixss son bypaseables, todos los dias me toca bypasearlos para crear pruebas de conceptos de vulnerabilidades que encuentro en sitios webs, tanto en google chrome como en internet explorer, mod security de apache y el filtro nativo antixss de internet information service (iis).

Ahora, ¿firefox debiera tener un filtro anti xss?, por otro lado, que un navegador no tenga este tipo de filtros no los hace menos seguros, por lo contrario, para mi firefox es mucho mas seguro que chrome tanto en la confidencialidad en al manipulación de los datos como en la tecnología misma.

¿Sabias que el filtro anti xss permitió que los sitios webs que no eran vulnerables fueran vulnerables?, a esto se le llamó XSS universal debido a que a traves de una dirección url podias manipular el comportamiento del filtro que se supone debia protegerte para que ejecutara un xss a pesar de que el sitio web no tuviera xss.

Asi que, volviendo a tu pregunta, hace menos seguro Firefox por no tener un filtro anti xss? mi respuesta es no, la seguridad de un ambiente o aplicativo no radica en la cantidad de capas de seguridad que tenga sino en la calidad de ellas, puedes tener todo un datacenter con la mejor tecnología de seguridad y la mas costosa del mercado pero puede que te sirva menos que tomar todo ese dinero e invertirlo en capacitar a los desarrolladores del aplicativo web, en este caso firefox tiene mucha ingeniería en temas de seguridad que están muy de punta, aunque esto no quiere decir que es inhackeable, pero eso es un tema totalmente diferente.

Saludos.
437  Sistemas Operativos / GNU/Linux / Re: Kali Linux es mejor usarlo en maquina virtual o con dual boot? en: 29 Septiembre 2017, 15:05 pm
tal como dice angel, cuando virualizas el sistema operativo no aprovecha todo el hardware ya que se encuentra restringido por dispositivos virtualizados, eso quiere decir que cuando necesites lanzar una explotación a bajo nivel que haga uso del dispositivo físico tendrás problemas o tus pruebas no tendrán el mismo resultado que en un ambiente real.

Kali no es una buena distribución para desktop, recuerda que kali es solo una distribución más de las muchas que existen de GNU/Linux, lo único que lo hace diferente son sus herramientas instaladas las cuales tambien las puedes instalar en cualquier otra distribución.

Pero entonces ¿cual es la ventaja de kali?, es que te ahorras tener que instalar todas las herramientas que en algún momento puedes necesitar de manera rápida y facil de acceder, por ejemplo si pasas por la calle donde hay una antena y justo andas con tu notebook pero no tienes las herramientas instaladas en tu sistema entonces usas el usb de kali. Lo mismo sucede con wifislax y similares.

Te recomiendo que uses un sistema operayivo / distribución cómodo para que uses a diario y alternativamente uses kali cuando sea necesario via usb.

Por otro lado, mi apreciación personal sobre kali es que trae demasiadas cosas xD yo en lo personal uso solo un par de herramientas en debian, pero de todas maneras es util cuando necesitas algo rapido y no lo tienes instalado.
438  Foros Generales / Noticias / Re: Chrome pronto te avisará de ataques MITM en: 11 Septiembre 2017, 18:00 pm
Así como lo hace firefox desde hace años?
439  Foros Generales / Noticias / Re: Pikachu ya tiene su propio lenguaje de programación en: 9 Septiembre 2017, 18:55 pm
me tomé unos 5 minutos en darle un vistazo serio como lenguaje de programación, traté de entender su sintaxis y todo lo demás, funciona en base a pilas, similar a ensamblador pero mas básico y restringido, el compilador online que tienen realmente es un interpretador, no tiene un equivalente compilado y pues.... no lo se, lo encontre raro, extraño, inusual, en broma es entretenido, pero como lenguaje de programación es muy malo xD tanto por su velocidad como por su usabilidad, de todas maneras si es bien entretenido intentar entender como funciona.
440  Foros Generales / Foro Libre / Re: Foro de Criptomonedas en: 28 Agosto 2017, 00:06 am
El foro está listo, para no hacer spam, el que esté interesado mandeme un pv o un mail (mi mail está al costado en mi perfil debajo de mi avatar) y le mando el link.

Saludos.
Páginas: 1 ... 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 [44] 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 ... 437
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines