Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

AÑO 9 - Nº 03 - MAR 13

HACKING BAJO LA LUPA

Click Jacking a ciegas

Por Camilo Galdos

Seguridad Blanca - Perú

 


<body style="cursor:none;">
Así es con css podemos hacer que el cursor desaparezca... entonces se pone interesante el caso no creen? lo que a mi se me ocurre así ligeramente digo y si creo un payload que haga que desaparesca el cursor y de click donde yo quiero haciendole creer que está en una posición en la que no...

 

Ya había visto algo parecido a esto en una época en la que usaban esto para que le dieras like a ciertos enlaces en facebook.

Bueno así a groso modo digamos que vamos a hacer que este poc se ejecute a través de un .js digamos que en nuestra victima es un banco nosotros podemos hacer en un teclado que no cambie posiciones que al dar click al 1 se apriete el 6 al dar click al 8 se apriete el 9 y así su transferencia se haría a nuestra cuenta mas no a la que la victima realmente quería transferirle.
 

Me tocó buscar un buen rato la funcion addEventListener mediante la cual se puede dar una especie de lectura de funciones del js.

Bueno mi interés por esta técnica y mi madrugada y mañana de programador me propuse hacer un PoC code...

Click para ir al  POC o para ver el código
 

Fuente: http://www.seguridadblanca.com

El problema de Microsoft Windows

Por Christian Vila / ISEC +
Senior Security Consultant
ISEC Information Security Inc.


Nunca fué tan fácil hacer ingeniería social: Social Engineering Framework

(Kit de herramientas de la ingeniería social) es una de las herramientas mas novedosas que encontramos para realizar ataques automatizados por medio de ingeniería social.


Como en los viejos tiempos: SECUESTRO DE SESIONES VÍA DROIDSHEEP

Droidsheep es una aplicación para sistemas operativos Android que captura las cookies e identificadores de sesión mediante la técnica de hombre en el medio, luego las selecciona, procesa y te muestra un listado simple de las sesiones secuestradas, es muy similar a lo que alguna vez fue el famoso plugin de Firefox: FIRESHEEP


EnCase® Como Nunca Has Visto

Por Tony Grey
Ingeniero de Ventas, Latinoamérica
Guidance Software - Quito, Ecuador


Esteganografía vs Criptografía: mitos y realidades

Por Christian Javier Vila Toscano
Senior Security Consultant
ISEC Information Security Inc


ANÁLISIS DE ATAQUES EN DIFERENTES CAPAS

Por Nelo Belda
S 2 GROUP
ESPAÑA


Tips de Seguridad para Android

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


¿Teclados inseguros y candados rotos?

Por Oscar Leonardo Banchiero
Instructor Ethical Hacking
ISEC Information Security Inc


Anonymous vs LulzSec

Por Rafael Núñez
Clean Perception Internacional
Caracas - Venezuela


"Verisign Trusted"  NO TAN CREIBLE!
Freedom, el hacker de sombrero gris que ha identificado muchas vulnerabilidades de cross-site scripting (XSS) en algunos sitios importantes, regresa con otros hallazgos interesantes. Descubrió una serie de 25 tiendas en línea del Reino Unido que contienen agujeros de seguridad XSS.


¿Cómo funciona el nuevo standard para reducir phishing?
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


TOR MAIL: SERVICIO SEGURO DE EMAIL
En un mundo donde la actividad en Internet es cada vez más vigilada y censurada por parte de gobiernos y/o miembros del crimen organizado, redes como Tor se han hecho cada vez más populares; tanto por razones de privacidad y confidencialidad, como por razones de anonimato. Con este mismo impulso con el que han crecido esta clase de redes, se han desarrollados también numerosos servicios que permiten a los usuarios transmitir sus comunicaciones de la más diversa índole a través de estas redes; un buen ejemplo de ello son todas las posibilidades que ofrece la conexión a las redes I2P.


Ataques al protocolo SSL
Por D. Luciano Bello (Chalmers University)

Dr. Alfonso Muñoz (grupo de investigación T SIC UPM).

Intypedia - España


Amenaza de Anonymous en Chile y Perú
Por Frano Capeta Mondoñedo
Country Manager Perú
I-SEC Information Security Inc.


Vectores de ataque HTML 5
Por Guillermo Mir

Security Art Work


Introducción al protocolo SSL
Por Alfonso Muñoz Muñoz

Grupo de investigación T SIC UPMC


CIBERLOCADEMIA de Policías, la excusa Hacker
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


EE.UU. quiere atacar militarmente a 'hackers' estén donde estén
Juegos de guerra (WarGames), la célebre película de 1983 protagonizada por un adolescente Matthew Broderick, narra la historia de un joven hacker que se infiltra en ordenadores del Pentágono y por error está a punto de iniciar un conflicto nuclear entre Estados Unidos y la URSS en plena Guerra Fría.


Autenticación Online

Por Alberto González

Panda ID Soluciones


La Red es el Campo de Batalla

Por Harry N Mesa P

System Engineer - Watchguard

Medellín - Colombia


Drive by pharming

Por Christian Javier Vila Toscano
Senior Security Consultant
I-Sec Information Security


Con menos de u$s8.000 hasta usted ya puede comprarse "el kit" para convertirse en un hacker


Ataque y Detección del Hacker
Por Rafa Núñez

Enfoque Seguro - Venezuela



Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad