HACKERS AND MONKEYS

Una de las cosas que tenemos que tener en cuenta cuando hacemos una página web es sobre todo el host que contratamos para subir ahí todos los archivos de la misma. Hay que tener en cuenta que las empresas que tienen nuestras webs hospedadas tengan una buena política de actualizaciones de sus servicios ya que podemos estar ante una seria amenaza para la continuidad del servicio que estamos ofreciendo.

Esta vez vamos a demostrar como no te puedes fiar de los códigos QR  ya que te pueden colar un phishing sin apenas darte cuenta o lo que para muchos es peor te pueden robar la sesión de WhatsApp .

Mucho se habla últimamente sobre los metadatos, sus ventajas y sus peligros. Que los archivos generen metadatos está genial, ya que sin ellos por ejemplo no podríamos organizar mp3 (por artista, género, etc), documentos ofimáticos (por fecha, autor, última modificación, etc), imágenes (fecha, tamaño, ubicación, etc), pero (siempre tiene que haber un pero 😐) cuando esos archivos los hacemos públicos, los subimos o compartimos a internet, podemos tener un problema.

En este post vamos a aprender a protegernos de un robo de identidad aprendiendo a crear un phishing, lo que viene siendo la ingeniería inversa de los buenos.

Todos sabemos de los diferentes leaks que han habido por parte de grandes empresas, y ¿qué medidas hemos tomado? Ninguna, todavía seguimos usando la misma contraseña aunque nos la hayan robado.

Esta vez vamos a ver algo bastante interesante que abarca un abanico muy amplio como suele ser el de los repositorios no fiables y la inyección de código malicioso en programas de escritorio.

Tal y como hemos visto en un post anterior cada vez los ciberdelincuenes se buscan más las artimañas para intentar colarnos un phishing . Ayer vimos como con url homográficas intentan engañar a nuestro ojo para transformar un enlace cambiando ciertos tipos de carácteres.

Hoy en día está muy de moda a la hora de hacer un phishing el poner caracteres diferentes en las url para intentar engañar a nuestra vista y hacer el enlace más amigable y lo más parecido posible a la página que queremos suplantar para conseguir ese tan deseado click.

Algo bastante atractivo es el poder conseguir los credenciales de otros usuarios en otros ordenadores conectados en la misma red local. Esto es muy interesante ya que estaremos viendo y analizando la seguridad de la misma red y de los ordenadores victimas con el principal objetivo de intentar realizar un test de intrusión o pentesting .

La importancia del correo electrónico Muchas veces creemos que nuestro correo es una herramienta sin más que debemos de tener para registrarnos en todos los sitios por los que navegamos e interactuamos a diario en internet. Pero nuestro correo es mucho más que eso, es nuestra dirección en internet, un medio de comunicación donde hay mucha información nuestra. Por eso debemos de tener mucho cuidado donde dejamos esas identidad digital nuestra.

Lo que para muchos es una odisea para otros es un problema cojonudo. El ser visible en internet y mayormente en los principales buscadores es una ventaja algo seria. Pero el problema puede venir cuando aparecemos, en la posición que sea, y no queremos estar ahí, o cuando por error hemos subido algún archivo o alguna vulnerabilidad y no queremos que esté ahí ya que compromete nuestra reputación, integridad y seguridad.

Recolectando información en LinkedIn Hoy en día están cada vez más a la moda las técnicas OSINT (Open Source Intelligence) para recolectar información de diferentes medios, ya sean buscadores, portales o incluso hasta redes sociales. Esta vez hablaremos sobre como recolectar información en LinkedIn.

CSS keylogger En esta entrada vamos a explicar como a través de pocos pasos y rápidamente podemos robar sesiones a través de una técnica llamada CSS Keylogger. Últimamente se está hablando mucho que el cargar código CSS remoto viene siendo un problema ya que se está abriendo una brecha de seguridad y se están reventando muchas contraseñas.

Es indudable que con tantos dispositivos con cámara como hoy en día tenemos sumado a la facilidad de uso que a veces muestran los programas de retoque fotográfico hace que haya veces en las que una imagen nos ponga en duda de si es verdadera o falsa. Ahí es donde nosotros entramos con esta fantástica herramienta llamada Fotoforensics .

Hoy como estamos de Lunes vamos a sacar una entrada rápida, sencilla pero a la vez útil para convertir un hash en texto plano.

Qué es el robots.txt El archivo de texto robots.txt según wikipedia es un archivo que suelen tener todas las webs y en concreto todos los CMS donde está escrito en el lo que se quiere ocultar a los buscadores. Por ejemplo si tenemos hecha una web con el gestor de contenidos Wordpress en ese archivo robots.txt vendrá la orden para que Google no rastree la url donde está ubicado el wp-admin ya que a través de ahí accederemos al login de la administración del sitio.

Qué es Striker Striker es una herramienta que escanea un sitio web completo para sacar información como emails, el CMS (en el caso que se use alguno) y alguna opción como explotaciones de vulnerabilidades XSS , SQL Injection ...

Qué es XSStrike XSStrike es una herramienta desarrollada en python capaz de analizar un sitio web y encontrar vulnerabilidades de inserción de código o XSS .

Qué es Shiva Shiva es una herramienta desarrollada en python preparada para intentar genera una interrupción en el servicio de nuestro sitio Wordpress.