Hoy es un día especial, y no porque juegue España...si no ¡porque volvemos con los enlaces de la SECmana! Como resumen, ha sido un semana en la que los grandes como Youtube o ThePirateBay han caído por problemas de seguridad típicos (Cross-Site Scripting e Inyección SQL respectivamente).
- ChRussó, investigador argentino (del grupo Insilence) descubrió una Inyección SQL en el panel de administrador de ThePirateBay (antes alojado en la dirección /mod/, por lo que se puede ver). Millones de usuarios expuestos, en un principio se pensó que vendería los datos al mejor postor, pero finalmente sólo quiso mostrar al mundo su hazaña, sin más. Más información en este enlace. Como comenta chrusso en un post nuevo, su servidor, debido al gran volumen de visitas, estuvo caído por lo que el video explicativo que hizo demostrando la vulnerabilidad lo volverá a subir próximamente.
- ¡Cross-Site Scripting en Youtube! Más concretamente en su sistema de comentarios. Por lo menos han aprovechado para darle un repaso al sistema e intentar localizar más vulnerabilidades de este tipo. ¿Nos lo creemos?
- Vulnerabilidad en el módulo MOTD de PAM en Ubuntu. Advisory disponible, además de su correspondiente exploit.
- Interesante documento titulado "pwning corporate webmails", dónde se detalla una vulnerabilidad CSRF (Cross-Site Request Forgery) para Microsoft OWA.
- En PandaLabs resuelven el reto propuesto por Wired para crackear el código que se muestra en el logo del United States Cyber Command.
- Publicado el algoritmo que conseguiría por ejemplo descifrar las comunicaciones de Skype. Podréis encontrar el código del algoritmo en C en este directorio dentro de cryptolib, así como un listado de servidores de Skype. En el 27C3, el Skype Reverse Engineering Team dará más detalles sobre todo lo que concierne a este hecho, ¿habrá demostraciones? Tendremos que esperar.
- El INTECO-Cert publicó el viernes el segundo informe trimestral de vulnerabilidades. Podréis descargarlo en este enlace [pdf].
- Paterva se adelanta y nos da una alegría: Lanzan antes de lo previsto la versión 3 de Maltego Community Edition. Si no conocéis este programa, os hablamos de él en este post sobre la búsqueda de información en un test de intrusión.
Nada más, nos despedimos diciendo simplemente...¡PO-DE-MOS!
2 comments :
PO-DE-MOS, no... ¡¡¡ Lo hemos conseguido !!!
Muchas gracias por el gran trabajo que estáis haciendo todos los integrantes de SbD.
PO-DE-MOS, no... ¡¡¡ Lo hemos conseguido !!!
Muchas gracias por el gran trabajo que estáis haciendo todos los integrantes de SbD.
Publicar un comentario