elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


  Mostrar Mensajes
Páginas: 1 ... 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 [48] 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 ... 442
471  Programación / Programación C/C++ / Re: Mi programa no compila. me da un error de, undefined reference to dados, AYUDAAA en: 4 Noviembre 2017, 23:21 pm
paola, lo mínimo que debes hacer si quieres ayuda es identar tu código. Antes de comenzar a programar cosas te recomiendo estudiar sobre identaciones y estilos de código de llaves foráneas.

Es como si estuvieras aprendiendo a conducir un vehículo y te enojas porque te dicen que estas presionando el acelerador en ves del freno. Por otro lado no creo que sea mala vibra, sino mas bien es parte de las normas del foro (que supongo tampoco has leido).

La próxima ves que vea que pides ayuda sin colorear el código utilizando las etiquetas de código, no identando o creando dos veces el mismo post, lo eliminaré sin previo aviso.

Antes de continuar pidiendo ayuda intenta por ti misma identar tu código y te darás cuenta de tus propias faltas.

Saludos.
472  Foros Generales / Foro Libre / Re: ¿Descubren dos pirámides en el fondo del mar?... en: 27 Octubre 2017, 23:03 pm
Hace tiempo que veo videos de ese canal y hay algunas cosas muy interesantes y otras que dejan mucho que desear, antes que nada hay que corroborar fuentes... que aparezca en google maps no quiere decir que sea lo que se piensa que es, no hay exploración marina, no hay estudios al respecto, etc, no es dificil que naturalmente se formen esas piramides, hay que considerar que no son piramides perfectas sino una forma similar a una piramide y lo que se ve de manera vectorizada en google maps es una aproximación a la silueta del objeto real, por lo cual no le veo mucho la intriga o si realmente son piramides con pasajes, tumbas o huecas, para mi se ve como un monton de piedras, rocas, y quien sabe que mas con una forma similar a piramide. Puede que me equivoque porque yo tampoco he ido hasta ese lugar a explorar lo que hay pero no me inclino porque sean piramides reales. El video que si me gustó fue el de la isla con forma de luna que cambia de posicion con el tiempo :p
473  Foros Generales / Noticias / Re: Hackers exigen rescate para no liberar fotos de cirugías plásticas de famosos... en: 25 Octubre 2017, 01:18 am
Si funciona no lo toques.
474  Programación / Programación General / Re: duda "Piensa en java 2" en: 16 Octubre 2017, 16:53 pm
Tienes toda la razón.
475  Programación / Programación General / Re: duda "Piensa en java 2" en: 16 Octubre 2017, 03:11 am
Yo discrepo con NEBIRE debido a que independiente del lenguaje o framework que se quiera enseñar, con el tiempo se van puliendo buenas prácticas y en el caso de java hay funciones que hacen cosas que antes java no podía hacer y por ende el desarrollo era mas largo y las prácticas no eran tan buenas.

No es como php que si lees un tutorial de php4 puede ser tan efectivo como desarrollar para php7 ya que php ha sabido mantener su estructura de desarrollo para no impactar en sus cambios pero no así con java, Oracle realiza muchos cambios importantes en cada versión y desarrollar por ejemplo un sitio web en java 2 es un partedero de cabeza, lo digo porque lo he hecho, en cambio java 8 te facilita mucho la vida, tienes muchas funcionalidades nativas que te ahorran trabajo y te ayudan con el modelamiento de datos.

Yo opino que aprender java 1.2 es perder el tiempo asi como lo es tratar de aprender vb6 si es que quieres dedicarte de manera profesional a programar.

Siempre que quieras escoger un lenguaje o framework sea cual sea debes ver su escalabilidad y siempre buscar aprender las ultimas versiones y buscar las mejores prácticas ya que eso creará un hábito de buen desarrollo y no será dificil con el tiempo aplicar esas buenas prácticas, en cambio si aprendes algo obsoleto y sin soporte te será mas dificil aprender y aplicar las buenas prácticas porque ya estarás acostumbrado a la vivir en la obsolencia.
476  Seguridad Informática / Nivel Web / Re: novato pidiendo consejos o guia en: 13 Octubre 2017, 18:26 pm
tienes la url para darle un vistazo?
477  Programación / Programación General / Re: duda "Piensa en java 2" en: 13 Octubre 2017, 18:21 pm
Cuando se refiere a Java 8 realmente quiere decir 1.8, cuando ves java 7 y 6 realmente es 1.7 y 1.6.

Por ejemplo yo uso Java 8 pero la version dice 1.8:

Código:
whk@machine:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)
478  Sistemas Operativos / Windows / Re: Se me bloquea ratón y teclado al iniciar windows en: 9 Octubre 2017, 06:28 am
No dije yo :-/ , así el tio rando quería poco menos que formatear el pc o instalarle diez mil cañonadas xD
479  Seguridad Informática / Nivel Web / Re: Firefox es inseguro contra ataques XSS reflejados? en: 30 Septiembre 2017, 20:28 pm
Pues ese tema de los filtros es muy muy extenso, pero si te puedo dar algunos tips.

¿Cómo google chrome, Internet explorer e IIS saben que deben detener un XSS y no un falso positivo?, utilizan dos técnicas:

* El filtrado
* Comparación I/O

Esto quiere decir que existen dos capas antes de llegar al bloqueo, el filtrado es cuando detectan que tu solicitud http ya sea en el request o en el body de la petición viene una mezcla de carácteres inseguros (payload), como por ejemplo etiquetas html, para esto la mayoría usan expresiones regulares, chrome es un poco mas complejo ya que usa otro tipo de filtrado donde evalua caso a caso los caracteres. Ahora, que detecte un contenido HTML no quiere decir que necesariamente sea un ataque por lo cual viene una segunda capa que es la comprobación I/O, o sea input de entrada v/s output de salida, si el contenido que retorna el sitio WEB contiene parte del contenido malicioso detectado por el primer filtro (o sea, si pongo un <script> en la url y aparece en el código devuelto por el sitio web) entonces ahi recién detiene la carga del sitio y alerta de un posible ataque de tipo XSS.

Ahora, con respecto a esto, donde la mayoría de las personas erran es intentar bypasear la primera capa la cual está lleno de reglas fuertes, bypaseables pero fuertes en ves de buscar bypasear la segunda capa y ahi es donde viene lo entretenido.

Por ejemplo, supongamos un escenario de un sistema que me tocó ver el mes pasado: Existe una compañía donde por norma de Active Directory todos los usuarios de la organización que usan windows solo pueden utilizar Google Chrome para mitigar los ataques de tipo XSS utilizando el filtro nativo pero tienen un portal WEB con un XSS y nos tocó comprobar que esa capa de protección de Google Chrome no era suficiente. El problema consistía en que el sitio WEB vulnerable tenía un XSS en una sección donde se podian guardar comentarios de páginas, el proceso era el siguiente:

Estabas en el sitio web y querias postear un comentario -> Este comentario era enviado por Ajax/javascript al servidor a traves de una petición post, el servidor solo devolvía un mensaje "OK", -> luego javascript al saber que el servidor retornó ese OK refrescaba el contenido de los comentarios apareciendo el comentario insertado. Bueno, esto era vulnerable a un XSS persistente.

[          Usuario envía comentario         ]
                      ↓
[            javascript: HTTP/POST          ]
                      ↓
[ Detección Google Chrome: Input: positivo  ] <-
                      ↓
[              Solicitud HTTP               ]
                      ↓
[    Respuesta WEB: "OK" text/plaintext     ]
                      ↓
[ Detección Google Chrome: Output: negativo ] <- !!


¿Donde estaba el problema? que Google Chrome perdió la segunda capa de validación debido a que el sistema WEB no retorna el contenido enviado, por lo cual para el navegador no hay ataque y tampoco tiene como saber que el contenido HTML que aparecerá después en un comentario fue el ingresado en la solicitud HTTP/POST.

Explotación: se ćreó un formulario html oculto dentro de una página de pruebas y al momento de ingresar este se enviaba al sitio web con el contenido HTML a insertar en el comentario (XSS), el sitio web original al solo responder un "OK" imposibilitó a Google Chrome entender si se trataba de un ataque o no por lo cual no lo detuvo, luego de esto el mismo sitio web de pruebas redireccionó al usuario hacia la página de comentarios para que le apareciese el XSS y listo!

Como ves, el filtro anti XSS no sirvió de nada porque para detener ataques de debe cumplir todo un flujo y puedes interrumpirlo en diferentes partes no solo bypaseando reglas.

Por otro lado si colocas un caracter que el contenido HTML no imprime entonces tampoco lo detecta, por ejemplo: <script>/*%01*/alert(0);</script> ya que el filtro esperará a que aparezca toda la cadena no solo una parte de ella y en la mayoría de los servidores webs estos caracteres no se interpretan como por ejemplo .net sobre IIS., también es posible crear un bypass utilizando filtros de eliminación de caracteres nativo como un censurador de palabras, por ejemplo si te censuran "fuck" entonces escribes: <scrifuckpt>alert(0)</script>, entonces el filtro esperará a que la etiqueta completa aparezca en el contenido HTML para detectar si realmente fue un ataque pero como el sistema WEB eliminó la palabra censurada dejó al descubierto la etiqueta script.

Y de esta manera hay muchas maneras de bypasear filtros, otra manera es creando etiquetas personalizadas no estandarizadas pero si interpretables abusando de la tecnología que vienen en todos los navegadores WEBs sobre la "tolerancia a errores", por ejemplo: <x style="position:absolute;left:0;width:100%;height:100%;background-image:url(http://...phishing.jpg)"> ya que la etiqueta x no existe, por lo general tanto google chrome como internet explorer y mas del 90% de los waf solo buscan etiquetas conocidas ya que se apegan mucho al estandard de la w3c, pero no funcionan como un navegador web el cual interpreta contenido, los navegadores no funcionan de manera tan estricta como un waf y ahi es donde es posible aprovecharse para realizar un bypass.

En fin, podría estar todo el día sobre como bypasear filtros anti xss, aunque tampoco quiero decir que sean un desperdicio, respeto mucho a la gente que hace estos tipos de filtros porque se requiere mucho conocimiento y dedicación, a demás si frena ataques básicos, pero nunca será algo efectivo como para depositar la confianza en ellos.

Artículos sobre esto? pues no conozco muchos, he visto uno o dos en pdf escritos en ingles y la verdad es que entiendo poco porque no me gusta el inglés. Pero deben haber muchos dando vuelta por internet, basta buscar sobre "xss filter bypass", hay algunos de defcon y otros de whitehat.

No conozco tu interés en conocer del tema pero si buscas como atacar averigua más, pero si buscas como solucionar entonces no pierdas tu tiempo y enfócate en como aumentar la productividad y seguridad en los aplicativos con buenas prácticas.

Saludos.
480  Foros Generales / Noticias / Re: ¿A cuántos usuarios podría Movistar ofrecer 1 Gbps simétrico ya mismo? en: 30 Septiembre 2017, 19:00 pm
Será solo en algunos lados, aca en chile la cobertura es pesima, donde vivo (uno de los sectores mas poblados de chile) no llega mas de 4mb comerciales. Acá lo mas rápido que llega es VTR.
Páginas: 1 ... 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 [48] 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 ... 442
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines