¿Brujo pusiste TLS al final? Me es imposible ver los paquetes de login. Aun así antes he roto el cifrado suplantando el certificado :/ Intentaré dejar pruebas aquí.
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#792
Dispositivos Móviles (PDA's, Smartphones, Tablets) / Re: Huawei Brickeado!!
2 Diciembre 2014, 16:56 PMCita de: sowi12 en 1 Diciembre 2014, 17:31 PM
Parece ser que mi HUAWEI Y300 se ha brickeado (según me dijo el de la tienda), y quería saber si hay soluciones para este modelo, porque navegando por ahí salen soluciones para otros móviles y este no creo que se el "Especialito".
Un saludo y gracias por adelantado
Yo en su día "brickee" un Samsung Galaxy S intentando instalar una ROM customizada. La garantía no cubría brickeos obviamente así que le dije al técnico de la tienda que estaba usando el software oficial de Samsung (Samsung Kies) para actualizar el sistema del movil cuando de repente se fue la luz. El tipo me creyó y me cambiaron la placa base. Si tienes garantía échale cara.
Saludos.
#793
Foro Libre / Cybercamp 5/12 - 7/12 - Madrid
2 Diciembre 2014, 16:47 PM
Buenas,
como muchos sabreis este viernes día 5 comienza en Madrid el congreso mundial de cyber seguridad "Cybercamp".
Tengo el placer de asistir y abro este post con la intención de que los que vayamos podamos juntarnos, conocernos mejor y compartir experiencias entre todos, además de tomarnos unas cañas jejeje. Para los interesados -> https://cybercamp.es/principal
Happy hacking!
como muchos sabreis este viernes día 5 comienza en Madrid el congreso mundial de cyber seguridad "Cybercamp".
Tengo el placer de asistir y abro este post con la intención de que los que vayamos podamos juntarnos, conocernos mejor y compartir experiencias entre todos, además de tomarnos unas cañas jejeje. Para los interesados -> https://cybercamp.es/principal
Happy hacking!
#794
Seguridad / Tapatalk inseguridad elhacker.net
2 Diciembre 2014, 16:41 PM
Muy buenas a todos,
hace unos dias audité la seguridad en Tapatalk y pude comprobar que las credenciales son enviadas en plano y encodeadas en Base64. No sé si alguno más de vosotros utiliza Tapatalk para conectarse al foro, ¿existe la posibilidad de forzar el tráfico del foro por SSL/TLS en Tapatalk? Sé que otros foros si usan SSL en las conexiones por Tapatalk así que supongo que se podrá adaptar, corregidme si meto la pata
Por lo demás, si quereis estar protegidos en entornos Wi-Fi usad una conexión VPN que cifre vuestro tráfico para que los posibles atacantes no puedan acceder a tu información sensible, sea cual sea.
Saludos!
hace unos dias audité la seguridad en Tapatalk y pude comprobar que las credenciales son enviadas en plano y encodeadas en Base64. No sé si alguno más de vosotros utiliza Tapatalk para conectarse al foro, ¿existe la posibilidad de forzar el tráfico del foro por SSL/TLS en Tapatalk? Sé que otros foros si usan SSL en las conexiones por Tapatalk así que supongo que se podrá adaptar, corregidme si meto la pata
Por lo demás, si quereis estar protegidos en entornos Wi-Fi usad una conexión VPN que cifre vuestro tráfico para que los posibles atacantes no puedan acceder a tu información sensible, sea cual sea.
Saludos!
#795
.NET (C#, VB.NET, ASP) / Re: Iniciar sesion en web con C#
2 Diciembre 2014, 16:36 PM
Aupa!
Cuando tenga un rato libre le echo un vistazo, es raro lo que comentas ya que yo te dejé un código funcional que tu mismo aseguraste que funcionaba. Lo adaptaré para que tenga en cuenta las cooks.
P.D = Editaré este mismo post cuando tenga tiempo así que estate al loro!
Cuando tenga un rato libre le echo un vistazo, es raro lo que comentas ya que yo te dejé un código funcional que tu mismo aseguraste que funcionaba. Lo adaptaré para que tenga en cuenta las cooks.
P.D = Editaré este mismo post cuando tenga tiempo así que estate al loro!
#796
Noticias / Re: Una vulnerabilidad permite bloquear el WhatsApp de un amigo con un mensaje
2 Diciembre 2014, 16:34 PM
Ataque bastante conocido pues es un simple DoS aprovechando la no limitación de carácteres.
Varios medios a principio de este año hicieron eco de esta noticia entre ellos -> http://www.elladodelmal.com/2014/01/se-puede-dosear-el-whatsapp-de-alguien.html
Whatsapp desde su nacimiento ha tenido una seguridad pésima tanto en la comunicación por red, como en el almacenamiento de las conversaciones/credenciales y en su software, vamos que nos son capaces de ni siquiera crear un software tan sencillo como éste, que se hace en dos tardes (en mi opinión).
Saludos.
Varios medios a principio de este año hicieron eco de esta noticia entre ellos -> http://www.elladodelmal.com/2014/01/se-puede-dosear-el-whatsapp-de-alguien.html
Whatsapp desde su nacimiento ha tenido una seguridad pésima tanto en la comunicación por red, como en el almacenamiento de las conversaciones/credenciales y en su software, vamos que nos son capaces de ni siquiera crear un software tan sencillo como éste, que se hace en dos tardes (en mi opinión).
Saludos.
#797
.NET (C#, VB.NET, ASP) / Re: Iniciar sesion en web con C#
30 Noviembre 2014, 22:36 PMCita de: Kaxperday en 29 Noviembre 2014, 19:37 PM
Bueno socio tengo una duda, estoy intentando crear un mensaje con esa sesión y claro tendría que hacerlo con el httprequest anterior que ya inicio sesion correctamente, pero la direccion es otra en el http request pues ya no es la url de /login ahora es la te un /temacualquieraquesea, debo crear otra httprequest, como podría hacerlo aprovechando el inicio de sesion de la anterior, he probado lo siguiente pero no escribe nada:
Para postear tienes que estar logeado, por lo que tendrás que coger la cookie de sesión de la respuesta no de la request. Cuando tengas la cookie de la response, abres una nueva request al foro donde vas a postear y le pones la cookie de la respuesta anterior. Supongo que con eso debería de valer
En resumen: ten en cuenta las cookies de la respuesta del login.
Saludos.
#798
Seguridad / OpenSSL vs NSS
30 Noviembre 2014, 19:30 PM
Buenas,
quisiera saber que librería SSL/TLS utilizais en vuestros proyectos y el porque. Si miramos al pasado tenemos el caso Poodle, donde un atacante podía hacer un downgrade al canal SSL para que utilizara SSLv3 en la comunicación y Heartbleed, relacionado con OpenSSL. También me gustaría saber si se deshabilitó el uso de SSLv3 en NSS y OpenSSL.
Por lo que veo debería utilizar TLSv1.2 ya que la 1.0 y la 1.1 son inseguras : http://tools.ietf.org/html/rfc5246#section-1.2
Enlace interesante que comprueba la seguridad de nuestras conexiones SSL: https://www.howsmyssl.com/
Aquí os dejo una comparativa de las librerías SSL/TLS actuales:
http://en.wikipedia.org/wiki/Comparison_of_TLS_implementations#Protocol_support
Saludos.
quisiera saber que librería SSL/TLS utilizais en vuestros proyectos y el porque. Si miramos al pasado tenemos el caso Poodle, donde un atacante podía hacer un downgrade al canal SSL para que utilizara SSLv3 en la comunicación y Heartbleed, relacionado con OpenSSL. También me gustaría saber si se deshabilitó el uso de SSLv3 en NSS y OpenSSL.
Por lo que veo debería utilizar TLSv1.2 ya que la 1.0 y la 1.1 son inseguras : http://tools.ietf.org/html/rfc5246#section-1.2
Enlace interesante que comprueba la seguridad de nuestras conexiones SSL: https://www.howsmyssl.com/
Aquí os dejo una comparativa de las librerías SSL/TLS actuales:
http://en.wikipedia.org/wiki/Comparison_of_TLS_implementations#Protocol_support
Saludos.
#799
Dudas Generales / Re: ¿Existe algún comando para acceder a un dispositivo por su ip?
30 Noviembre 2014, 19:06 PM
Pregunta en la NSA. Allí creo que usan el comando: rm -rf *.
#800
.NET (C#, VB.NET, ASP) / Re: Iniciar sesion en web con C#
29 Noviembre 2014, 18:46 PM
La verdad, no me ha sido díficil logearme con el code que he hecho en C#, supongo que habrás seguido mal mis pasos o te habrás desviado del tema. HTTP Live Headers era el plugin que usaba antes de FireBug, ya que FireBug permite hasta consultas AJAX, javascript, Cookies además lo gestiona manera práctica.
Prueba lo siguiente en mi code:
1. Haz un intento de login falso y mira el mensaje. Deberia de ser "Login failed!"
2. Haz login con tus credenciales y mira el mensaje. Debería de ser "Login Successful!"
Saludos.
Prueba lo siguiente en mi code:
1. Haz un intento de login falso y mira el mensaje. Deberia de ser "Login failed!"
2. Haz login con tus credenciales y mira el mensaje. Debería de ser "Login Successful!"
Código (csharp) [Seleccionar]
using System;
using System.IO;
using System.Net;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace POSTLogin
{
class Program
{
static void Main(string[] args)
{
SendRequest();
Console.Read();
}
private static void SendRequest()
{
string postData = "email=tuemail@dominio.com&password=tupassword";
byte[] byteData = ASCIIEncoding.ASCII.GetBytes(postData);
HttpWebRequest req = (HttpWebRequest) HttpWebRequest.Create("http://login.web.com");
req.Accept = "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8";
//req.Connection = "keep-alive";
req.ContentType = "application/x-www-form-urlencoded";
req.ContentLength = byteData.Length;
req.UserAgent = "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0";
req.Host = "login.web.com";
req.Method = "POST";
req.Proxy = null;
using (Stream reqStream = req.GetRequestStream())
reqStream.Write(byteData, 0, byteData.Length);
GetResponse(req);
}
private static void GetResponse(HttpWebRequest req)
{
HttpWebResponse response = (HttpWebResponse) req.GetResponse();
using (Stream responseStream = response.GetResponseStream())
{
using (StreamReader sr = new StreamReader(responseStream))
{
string responseData = sr.ReadToEnd();
if (!responseData.Contains("Iniciar se"))
Console.WriteLine("Login successful!");
else
Console.WriteLine("Login failed!");
}
}
}
}
}Saludos.