Páginas

Bienvenidos a Todo por el Vicio 2.0

Hola queridos lectores, tengo el agrado de presentarle a todo por el vicio 2.0, y por que 2.0? , es que el blog a evolucionado al mismo estilo de pokemon, ahora pueden ver que contamos con dominio propio ( todoporelvicio.com) ,ademas después de batallar con blogger también cambie el template, según yo más bonito ( yo lo diseñe no me hagan roche), y contamos con muchas más sorpresas y proyectos, como mi favorito de la temporada “MONO HARD BOTNET”, es un proyecto open source en el que voy trabajando, y aunque aun es muy básico sé que con la ayuda de la comunidad saldrá adelante hasta que el mono se apodere del mundo ( risa macabra), gracias a mi Hermana ( Maria Teresa Ganoza) por el logo del monito y prometo llevarles algunos stickers (si pe soy misio) al Hacksol ( Huancayo) en donde será la presentación oficial del proyecto.

Quiero agradecer a las personas que leen está humilde bitácora ( emocionado T_T ) y espero que cada vez sean mas las personas que siguen este blog, sin mas que decir me despido y les dejo el logo de la botnet ( en chiquito) que espero que les guste:


EDITO:
al cambiar de dominio se borraron los "me gusta de facebook" chessss!!!.

Vamos a Huancayo... vamos al Hacksol

Hacksol Conferencias Software Libre Huancayo
Si, así como lo leíste , este 12 de marzo se llevará a cabo el Hacksol en la ciudad de Huancayo.
El Hacksol es un evento de software libre organizado por la comunidad LumenHack a cual integrantes tuve la dicha de conocer en el Drupal summit Latino. El Hacksol es un evento en donde se darán una serie de conferencias y charlas relámpago por profesionales, estudiantes y entusiastas del software libre, en donde se hablará sobre las bondades, casos de éxito y formas de manejar los distintos programas open source, asi que si eres amante del software libre no te lo puedes perder, y si no conoces nada de el tema pero quieres aprender también tienes que ir, ademas estaré yo... si yoo!!! (viajaré con David Salcedo que hablará de Jquery con su charla titulada "¿Conoces JQuery?") mi charla se llama "Botnets para Dummies" en donde también liberaré el código fuente de mi botnet open source, espero que sea de su agrado.

para mas información del evento entra a:

Vulnerabilidad en Taiper.com

¿Qué es Taiper?

Taiper es un servicio creado por jóvenes peruanos para facilitarnos la vida a todos los twitteros dándonos la posibilidad de twittear y cambiar el estado del facebook via sms.

Aunque no lo e usado mucho reconozco su utilidad para muchos twitteros ya que fue una idea innovadora, pues taiper comenzó antes de que salgan los servicios de movistar para postear en twitter y facebook.

Personalmente no sabia que seguía funcionando , porque luego que salió el servicio de movistar anunciaron su cambio de servicio y todo eso ( me sentí desilusionado por que recién comenzaba a usar el servicio) y tengo claro y no movistar.

Bueeeno vallamos a la acción:

Taiper te permite postear en tu twitter y facebook de la siguiente manera:

1.- te registras.

2.- das permisos a la aplicación para que publique en tu Twitter o Facebook.

3.- mandas un sms a el numero de celular que ellos te brindan y tu publicación aparecerá en tu muro .

El punto que olvidaron fue validar si el que manda el sms verdaderamente es el dueño de la cuenta, pues no se puede confiar en la autenticidad del remitente del sms, pues por que como lo decía en otro post, se puede spoofear!!!, ósea falsificar el remitente, entonces que sucede si yo falsifico un sms con el numero de pepito y lo mando al servicio de taiper, entonces yo podré publicar en el muro de facebook y twitter que es propiedad de pepito ( lógicamente pepito tendría que estar registrado en taiper duh).

POC:

Primero mandamos un sms falso desde Lleida con el numero de la victima ( yo :D):

Y luego vemos que efectivamente se publica en la cuenta de twitter:


Lo mismo pasa con Facebook:



Una posible solución seria otorgar un pin a los usuarios y a la hora de postear tengan que también mandar el pin adelante de todo el mensaje, esa si seria una forma de validar.

Espero que se solucione esto pronto , pues este servicio aun me sigue interesando y se que a muchos también, saludos.

Web de Castañeda 0wned!!

Hace tiempo en esas noches sin nada que hacer me puse a jugar con la pagina del flamante candidato a la presidencia : Lucho Castañeda, si el ex alcalde de lima, el que nos dio el metropolitano, el del caso comunicore y ademas el que acaba de contratar como asesor político a J.J. Rondón. E aquí el resultado:
[Vulnerabilidad]: full source disclosure
[Pagina vulnerable]: http://www.luchopresidente.pe/descargas.php
[peligro]: se puede conseguir los datos de conexión a la DB pero solo permite conectar por localhost, pero se puede jugar.
Para los que no saben esta clase de vulnerabilidad permite ver el código del lado del servidor(php) , al que normalmente solo podría tener acceso el administrador, puesto que en este código se guarda información sensible como los datos de conexión a la DB.
El fallo en este caso, como ya lo mencione se encuentra en la pagina descargas.php, que como se fijarán no hace un filtrado de los archivos que se pueden descargar, permitiendo descargar también los php y moviéndonos como en nuestra casa por las carpetas:
Por ejemplo , descargamos la hoja download.php haciendo: http://www.luchopresidente.pe/includes/download.php?file=./../includes/download.php
Y vemos el código :


y por ultimo obtenemos los datos de conexión:


PD: en lugar de contratar un asesor político , antes debió contratar un asesor de seguridad informática XD.
verdadero PD: todo esto es sin ninguna mala intensión....
saludos.

facebook y twitter en tu celular


Después de estar algún tiempo sin celular( murió mi nokia 5200) y al querer desde hace mucho probar uno de esos celulares chinos, el día de ayer fui a las Malvinas y adquirí un BlackBerry Bold chino, me sorprendió el acabado y las funcionalidades ,hasta ahora estoy feliz ( y espero estarlo almenas 6 meses mas). Bueno al ser un ludópata del facebook y twitter , y al venir el celular con wifi, busqué en internet y encontré una aplicaciones sorprendente y muy útil para los geeks y también para mortales, se trata de Snaptu ,una aplicaciones que fusiona los servicios de Twitter, Facebook, Picasa entre otros, la interfaz es muy amigable y es la mejor que e encontrado, lo recomiendo al 100% si tienen un celular que corra Java , esto es una gran utilidad.

DESCARGAR:

1.- Desde el navegador de tu movil entrando a m.snaptu.com.

2.- Click “Download Snaptu”.

3.- Enjoy!!

Saludos viciosos

Los mejores blog del mundo

Sigueme

Las mas bonitas