Voy a trabajar en CORE!!!!! :D
martes, 29 de abril de 2008
domingo, 13 de abril de 2008
Hoy, Cross-site Scripting
Ya hace varios años que quiero, o bien dedicarme, o bien saber de seguridad informatica.
Debido al poco uso laboral en el ambiente normal de la industria (por lo menos la Argentina), tuve que dedicarme a ver esto por cuenta propia.
Primero, leyendo libros, despues, algunos foros y blogs, etc.
Pero bueno, basta de boludeces y vamos al ejemplo de hoy.
Estaba entre Injections y esto, pero como varios que leen esto ya estan al tanto de que son las injections, vamos a hablar de Cross-site Scripting (en este caso DOM-Based).
Rapidamente, tenemos el siguiente escenario:
Pepe le manda a Esteban una URL, por algun medio, de una pagina que contiene codigo malicioso. Cuando Esteban hace click en ese link, el codigo JavaScript abre una pagina, ya instalada en la computadora de Esteban. Esta pagina, contiene codigo JS que se ejecuta localmente, con los privilegios de Esteban.
Evidentemente, esto hace que la informacion (passwords, cookies, etc.) que contiene la maquina de Esteban, queden vulnerables ante un ataque.
Algunos ejemplos de codigos maliciosos en mi pagina preferida :p
Podria hacerlo mucho mas extenso, agregando un par mas de ejemplos, pero es domingo a la noche y en cualquier momento pasan el partido de Boca en FdP :D
Les dejo un par de links que hablan sobre esto, cuando pueda agrego mas informacion.
http://en.wikipedia.org/wiki/Cross-site_scripting
http://www.technicalinfo.net/papers/CSS.html
http://www.windowsecurity.com/articles/Cross-Site-Scripting-Underestimated-Exploit.html
Los dejo con un videito, proximamente les doy el ejemplo de Google App Engine (aunque necesito alguna idea para probar, saliendo del clasico tutorial o "fotolog") y me falta pulir el Adaptador y publicarlo.
Saludos Gente!
Blue
P.D: Mañana les cuento de mi migracion de WinXP a Ubuntu (una vez mas), CYA!
Debido al poco uso laboral en el ambiente normal de la industria (por lo menos la Argentina), tuve que dedicarme a ver esto por cuenta propia.
Primero, leyendo libros, despues, algunos foros y blogs, etc.
Pero bueno, basta de boludeces y vamos al ejemplo de hoy.
Estaba entre Injections y esto, pero como varios que leen esto ya estan al tanto de que son las injections, vamos a hablar de Cross-site Scripting (en este caso DOM-Based).
Rapidamente, tenemos el siguiente escenario:
Pepe le manda a Esteban una URL, por algun medio, de una pagina que contiene codigo malicioso. Cuando Esteban hace click en ese link, el codigo JavaScript abre una pagina, ya instalada en la computadora de Esteban. Esta pagina, contiene codigo JS que se ejecuta localmente, con los privilegios de Esteban.
Evidentemente, esto hace que la informacion (passwords, cookies, etc.) que contiene la maquina de Esteban, queden vulnerables ante un ataque.
Algunos ejemplos de codigos maliciosos en mi pagina preferida :p
Podria hacerlo mucho mas extenso, agregando un par mas de ejemplos, pero es domingo a la noche y en cualquier momento pasan el partido de Boca en FdP :D
Les dejo un par de links que hablan sobre esto, cuando pueda agrego mas informacion.
http://en.wikipedia.org/wiki/Cross-site_scripting
http://www.technicalinfo.net/papers/CSS.html
http://www.windowsecurity.com/articles/Cross-Site-Scripting-Underestimated-Exploit.html
Los dejo con un videito, proximamente les doy el ejemplo de Google App Engine (aunque necesito alguna idea para probar, saliendo del clasico tutorial o "fotolog") y me falta pulir el Adaptador y publicarlo.
Saludos Gente!
Blue
P.D: Mañana les cuento de mi migracion de WinXP a Ubuntu (una vez mas), CYA!
martes, 8 de abril de 2008
Aca estamos...
Buenas tardes gente:
Despues de mas de una semana sin postear, aca llego con algunas novedades que me tuvieron ocupado en estos dias:
1- Se publico Google App Engine, una bonito motor para armar aplicaciones web. Lo que mas me gusto de esto es que las aplicaciones se escriben en Python (pronto se agregaran mas lenguajes) y es muy sencillo de usar. En algun momento posteare algun ejemplo, ya que recien esta mañana estuve viendo algo, haciedo el tutorial mas especificamente. Punto a favor: el hosting te lo da Google :p, aunque por ahora, al estar en etapa de beta no hay tanto lugar, pronto habra disponible y podremos disfrutar de este gran aporte al Soft Libre y Gratuito.
Mas info en http://code.google.com/appengine/
2- Me han dado permiso en el trabajo para publicar el Adaptador de Informix para Biztalk 2006, asi que tambien lo estare subiendo en los proximos dias.
3- Sigo leyendo mis libros de exploit writing para web apps y python, quien sabe? quizas me ayuden en un futuro ;). Como ya fueron varios que me preguntaron que carajo es eso, voy a poner un breve ejemplo. Por ahora, conformense con esta (muy buena) pagina sobre hack:
http://ha.ckers.org/
4- Nueva version del Google Talk... con razon se llama Labs Edition. Se nota que le falta mucho para tener la misma funcionalidad que tiene el viejo, pero se huele que va a estar bueno, mas que nada en la parte estetica, que es lo menos (o mas, depende para quien) rescatable del mensajero de Google. Realmente, no recomiendo ni bajarlo, ya que le faltan muchas funcionalidades, como la de mostrar todos los contactos juntos, llamadas, transferencia de archivos. Pero si tiene otras, como avisos de Google Calendar, integracion con Orkut, Calendar, Gmail, etc.
Les dejo el link y ustedes prueben.
http://www.google.com/talk/labsedition/
Esto es todo por hoy. Prometo que el proximo post vendra rapido.
Dejo videito para divertirse:
Saludos!
Blue
Despues de mas de una semana sin postear, aca llego con algunas novedades que me tuvieron ocupado en estos dias:
1- Se publico Google App Engine, una bonito motor para armar aplicaciones web. Lo que mas me gusto de esto es que las aplicaciones se escriben en Python (pronto se agregaran mas lenguajes) y es muy sencillo de usar. En algun momento posteare algun ejemplo, ya que recien esta mañana estuve viendo algo, haciedo el tutorial mas especificamente. Punto a favor: el hosting te lo da Google :p, aunque por ahora, al estar en etapa de beta no hay tanto lugar, pronto habra disponible y podremos disfrutar de este gran aporte al Soft Libre y Gratuito.
Mas info en http://code.google.com/appengine/
2- Me han dado permiso en el trabajo para publicar el Adaptador de Informix para Biztalk 2006, asi que tambien lo estare subiendo en los proximos dias.
3- Sigo leyendo mis libros de exploit writing para web apps y python, quien sabe? quizas me ayuden en un futuro ;). Como ya fueron varios que me preguntaron que carajo es eso, voy a poner un breve ejemplo. Por ahora, conformense con esta (muy buena) pagina sobre hack:
http://ha.ckers.org/
4- Nueva version del Google Talk... con razon se llama Labs Edition. Se nota que le falta mucho para tener la misma funcionalidad que tiene el viejo, pero se huele que va a estar bueno, mas que nada en la parte estetica, que es lo menos (o mas, depende para quien) rescatable del mensajero de Google. Realmente, no recomiendo ni bajarlo, ya que le faltan muchas funcionalidades, como la de mostrar todos los contactos juntos, llamadas, transferencia de archivos. Pero si tiene otras, como avisos de Google Calendar, integracion con Orkut, Calendar, Gmail, etc.
Les dejo el link y ustedes prueben.
http://www.google.com/talk/labsedition/
Esto es todo por hoy. Prometo que el proximo post vendra rapido.
Dejo videito para divertirse:
Saludos!
Blue
Suscribirse a:
Entradas (Atom)
