Autor: Molder  Fecha:09 Jul 2010

Hace unos dias se publico un fallo de seguridad tipo SQL Inyection en WebGloob, pero pese a que se ofrecio a la empresa ayuda ellos optaron por publicar reclamaciones en el presente Blog. No conforme con esto se fueron a insultos y finalmente hicieron un acto muy ardilla xD.

WebGloob envio un correo electronico a denuncia@ssp.gob.mx con el fin de reportar el supuesto "Daño" que se les hizo, No conformes me enviaron una copia de la respuesta que les dieron.

A todo esto creo que WebGloob no leyo el correo el cual toca 3 puntos:

[+] Proteccion de cuentas de email y recuperacion de contraseñas.
[+] Seguridad en cuentas de facebook y robo de identidad.
[+] Extorsion telefónica.

Como un agregado menciono para el conocimiento de la gente que en mexico el único documento que habla sobre castigos a delitos informaticos es el Código Penal Federal el cual nos dice lo siguiernte:

[» Seguir leyendo este articulo...]

Autor: Molder  Fecha:24 Jun 2010

Aquí unas pruebas de SQL INJECTION a un sitio construido en PHP y MYSQL llamado WebGloob que se dedica envío de campañas publicitarias, boletines o avisos, por medio de email marketing.




La sección vulnerable se encuentra en http://www.webgloob.com/noticia.php?id_noticia=3819.

Aquí pongo una prueba de la vulnerabilidad, donde obtenemos el nombre de la base de datos (id_noticia=-1 UNION select 1,2,3,database(),5,6).



Y publicamos el exploit para obtener todas las tablas, usuarios y contraseñas de clientes.

[» Seguir leyendo este articulo...]

Autor: Molder  Fecha:10 Jun 2010

Bonafont tiene una promoción con vigencia del 01 de Junio al 31 de Julio del 2010 que permite ganar premios económicos y descuentos en tiendas y restaurantes.

Instrucciones de la promoción:

[*] Con productos Bonafont participantes, junta la frase "YA GANÉ" impresa en dos botellas ó tapas
[*] Registra los códigos de tus botellas o tapas.

Dirán, este tipo y sus campañas publicitarias, pero no, el tema a tratar aquí es que es vergonzoso que en México existan sistemas WEB como el que usa actualmente Bonafont, donde solo ingresamos códigos ficticios y obtenemos premios.

Tal vez sea necesario presentar los empaques Bonafont, sin embargo, el sistema es vulnerable a una Negación de servicios al cliente ya que es posible crear un script que se encargue de hacer registros de códigos falsos dejándolos inservibles para aquellos usuarios que realmente compraron algún producto e intentan registrarlo, esto pone en riesgo la credibilidad del concurso y da una mala imagen a Bonafont.


[» Seguir leyendo este articulo...]

Autor: Molder  Fecha:28 May 2010

Este texto esta enfocado a hacer ingeníeria inversa al sistema Adsense de google. Lo que haremos será revisar los procesos realizados por google a la hora de que nosotros damos un clic en algún anuncio de adsense.

La razón por la que hago esto es por que muchas veces en el MSN me preguntan -“¿Cómo genero clics en google adsense?”- casi siempre termino desadmitiendolos pero de aquí en adelante los mandare a leer esto (XD jajajaja) que espero les ayude a crear sus programas.

Primero que nada debemos saber que quien realmente hace el conteo de clics de adsense es http://www.doubleclick.com/ perteneciente a google.

En el momento que queremos agregar anuncio a nuestra web es necesario insertar un script de JAVASCRIPT el cual se encargará de dibujar los anuncios. Lo que pasa cuando se ejecuta este código es que en la página se dibuja un <iframe> que incluye una segunda página donde realmente esta contenido el anuncio:

SRC<IFRAME>: http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-5016929166476710&output=html&h=250&slotname=6693680451&w=250&lmt=1271367173&
flash=10.0.32&url=http%3A%2F%2Fwww.aztlan-hack.org%2Fadsense.html&dt=1271367232220&
shv=r20100407&correlator=1271367232225&frm=0&ga_vid=1033946436.1271367232&ga_sid=1271367232
&ga_hid=826749591&ga_fc=0&u_tz=-300&u_his=45&u_java=1&u_h=768&u_w=1024
&u_ah=740&u_aw=1024&u_cd=24&u_nplug=13&u_nmime=105&biw=1024&bih=579&fu=0
&ifi=1&dtd=194&xpc=ICpVg5wclm&p=http%3A//www.aztlan-hack.org

[» Seguir leyendo este articulo...]

Autor: Molder  Fecha:28 Feb 2010

MyMiniCity es un sistema que tiene como finalidad atraer visitas y vender publicidad. La estrategia usada dentro de MyMiniCity es un pequeño juego donde los visitantes puede crear una ciudad virtual y los habitantes de esa serán generados por cada visita que consigan a esta.

Hace unos días un amigo del trabajo me preguntaba si era posible generar habitantes en su ciudad virtual de forma fraudulenta, esta fue la razón por la cual me puse a investiga el funcionamiento del sitio y así encontrar la respuesta a su pregunta. Pensaba dejar todo hasta ahí sin embargo al platicar con el mas tarde me menciono que existían muchas paginas tituladas hack MyMiniCity donde ofrecían respuesta a su incógnita pero que sin embargo ninguna de las soluciones propuestas era funcional, así que por eso me decidí publicar esto XD.

A primera vista nos damos cuenta que una de sus validaciones es a travez de IP, una IP solo puede generar un habitante por día. Con esto se propone una lista de proxys para solucionar el problema.

Se creara un programa en perl que acceda al MyMiniCyti a través de diferentes proxys con el fin de automatizar las visitas.


[» Seguir leyendo este articulo...]

Autor: Molder  Fecha:13 Ene 2010

El Centro de Estudios Superiores en Alta tecnología en coordinación con la Asociación Latinoamericana de Especialistas en Seguridad Informática (ALAPSI) a través del CCAT Research Labs, organizan el primer:



[» Seguir leyendo este articulo...]