Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
enero
(Total:
51
)
- Google da más de 1 millón y medio de dólares en el...
- Vulnerabilidad en Wi-Fi Direct de Android permite ...
- Mozilla hace una donación a la red Tor
- Disponible LibreOffice 4.4 con nueva interfaz
- Manual análisis tráfico de red con Wireshark
- El mayor ataque DDoS alcanzó los 400Gbps en 2014
- YouTube utilizará por defecto HTML5 en lugar de F...
- Características técnicas del Bq Aquaris E4.5 Ubuntu
- GHOST: glibc: buffer overflow en gethostbyname CVE...
- FairPhone: el teléfono móvil justo
- Lizard Squad tumba Facebook, Instagram y MySpace
- Vodafone confirma el bloqueo a The Pirate Bay por ...
- Lizard Squad hackea la web de Malaysia Airlines
- Disponible Wifislax-4.10.1 (Versión de mantenimiento)
- Nvidia amplía la familia Maxwell con la GeForce GT...
- La policía incautó 50 servidores en la redada cont...
- Solucionada vulnerabilidad XSS en el panel de cont...
- LibreOffice Viewer Beta disponible para Android
- Nueva variante del Ransomware CryptoLocker descubi...
- Nueva vulnerabilidad 0day en Flash Player
- Estudio del mejor disco duro mecánico del 2014 por...
- Las peores contraseñas del 2014
- El registrador de dominios GoDaddy soluciona una g...
- WhatsApp empieza a banear por 24 horas a los usuar...
- Jornadas X1RedMasSegura 2015
- Llega Adamo móvil para clientes de la compañía
- Detienen a un joven de 18 años acusado de pertenec...
- Disponible Tails 1.2.3 la distribución Linux para ...
- KeySweeper cargador USB registra todas las pulsaci...
- Jornadas INCIBE de ciberseguridad para estudiantes...
- Exploit Pack el framework Metasploit open source
- Dark Mail, el e-mail seguro del fundador de Lavabit
- Se cumplen dos años del suicidio de Aaron Swartz
- Ataques XSS avanzados y ejemplos de explotación
- Guía básica de privacidad, anonimato y autodefensa...
- SPARTA Python Gui para hydra y nmap
- "Volveré" El mensaje cifrado oculto de The Pirate Bay
- Manual - Tutorial WPS Pin Generator para Wifislax
- Manual GOYscript (WEP, WPA & WPS)
- Kali Linux NetHunter - ROM de Kali para Android co...
- Script automatizado GeminisAuditor v1.0 [WEP, WPA,...
- Disponible para descargar la preview de Microsoft ...
- Softavir - el antivirus español basado en listas b...
- Pentoo: una distribución dirigida a la seguridad i...
- LINSET 0.14 - WPA/2 Hack sin Fuerza Bruta - Crack...
- 4Chan primera víctima del ataque DDoS utilizando L...
- Twitter permite eliminar la localización de tus me...
- Colección de 2386 juegos de MS-DOS para jugar desd...
- Lizard Squad ofrece su servicio de pago por realiz...
- Continúan las detenciones de supuestos miembros de...
- II Jornadas de Seguridad y Ciberdefensa de la Univ...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
El registrador de dominios GoDaddy soluciona una grave vulnerabilidad CSRF que permitía el secuestro de sesiones en dominios
miércoles, 21 de enero de 2015
|
Publicado por
el-brujo
|
Editar entrada
El conocido registrador de dominios GoDaddy arregló una vulnerabilidad (CSRF o XSRF, cross-site request forgery, por sus siglas en inglés) que podría haber permitido a un
atacante cambiar la configuración del dominio de un sitio registrado con
GoDaddy.
El fallo se reportó el sábado y fué parcheada en 48 horas, de acuerdo con el descubridor del bug Dylan Saccomanni, consultor de pruebas de penetración e investigador de seguridad de aplicaciones web en Nueva York.
"Esta vulnerabilidad radica en la configuración del dominio de GoDaddy (no en los ajustes de cuenta). Si se dirige a "dominios" cuando inicia sesión en GoDaddy, se le presentarán varias opciones y configuraciones que se pueden editar para el dominio específico que eligió", dijo Saccomanni. "Ahí es donde se encuentra el problema".
Dylan Saccomanni se dió cuenta que en GoDaddy, no había absolutamente ninguna cross-site protección falsificación de petición en muchas acciones de administración de DNS de GoDaddy, que son las peticiones POST cambia de estado (sin token CSRF en cuerpo de la solicitud o las cabeceras, y no cumplimiento de de Referer o Content-Type). De hecho, puedes editarla servidores de nombres, cambiar de auto-renovación de los ajustes y editar el archivo de zona en su totalidad sin ninguna protección CSRF en el cuerpo de la petición o encabezados.
CSRF funciona cuando un usuario autenticado para una aplicación web o dominio es forzado por un atacante a hacer peticiones de cambio de estado, en este caso incluyendo las peticiones administrativas. El atacante, sin embargo, tendría que combinar esto con algún tipo de ingeniería social para engañar a la víctima y llevarla al sitio que hospeda el ataque.
"No sería difícil de explotarlo en absoluto", dijo Saccomanni. "El atacante tendría que hacer que su víctima llene un formulario de aspecto muy profesional (tal vez ni siquiera relacionado con GoDaddy en absoluto), y tiene que encontrar la manera de que GoDaddy realice una configuración de dominio cambiando las peticiones mientras están conectados.
Ejemplo de petición NameServers:
El fallo se reportó el sábado y fué parcheada en 48 horas, de acuerdo con el descubridor del bug Dylan Saccomanni, consultor de pruebas de penetración e investigador de seguridad de aplicaciones web en Nueva York.
"Esta vulnerabilidad radica en la configuración del dominio de GoDaddy (no en los ajustes de cuenta). Si se dirige a "dominios" cuando inicia sesión en GoDaddy, se le presentarán varias opciones y configuraciones que se pueden editar para el dominio específico que eligió", dijo Saccomanni. "Ahí es donde se encuentra el problema".
Dylan Saccomanni se dió cuenta que en GoDaddy, no había absolutamente ninguna cross-site protección falsificación de petición en muchas acciones de administración de DNS de GoDaddy, que son las peticiones POST cambia de estado (sin token CSRF en cuerpo de la solicitud o las cabeceras, y no cumplimiento de de Referer o Content-Type). De hecho, puedes editarla servidores de nombres, cambiar de auto-renovación de los ajustes y editar el archivo de zona en su totalidad sin ninguna protección CSRF en el cuerpo de la petición o encabezados.
CSRF funciona cuando un usuario autenticado para una aplicación web o dominio es forzado por un atacante a hacer peticiones de cambio de estado, en este caso incluyendo las peticiones administrativas. El atacante, sin embargo, tendría que combinar esto con algún tipo de ingeniería social para engañar a la víctima y llevarla al sitio que hospeda el ataque.
"No sería difícil de explotarlo en absoluto", dijo Saccomanni. "El atacante tendría que hacer que su víctima llene un formulario de aspecto muy profesional (tal vez ni siquiera relacionado con GoDaddy en absoluto), y tiene que encontrar la manera de que GoDaddy realice una configuración de dominio cambiando las peticiones mientras están conectados.
Ejemplo de petición NameServers:
POST /dcc50/Modals/DomainActions/NSManageWS.asmx/ValidateNameserver HTTP/1.1 Host: dcc.godaddy.com User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:34.0) Gecko/20100101 Firefox/34.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/json; charset=utf-8 X-Requested-With: XMLHttpRequest Content-Length: 175 Cookie: [REDACTED] Connection: keep-alive Pragma: no-cache Cache-Control: no-cache {'request':'{"isall":false,"nsobjs":[{"ns":"foo.example.com","ips": [],"index":0,"add":1,"status":""}, {"ns":"bar.example.com","ips": [],"index":1,"add":1,"status":""}]}'
Disclosure Timeline
- 01/17/15 – Initial discovery and attempt to reach GoDaddy security.
- 01/18/15 – Further attempts to reach GoDaddy security, finally received word there was no timeline for a fix.
- 01/19/15 – GoDaddy implemented CSRF protection for sensitive account actions.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.