Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
febrero
(Total:
36
)
- Quitando a los usuarios de Windows los derechos de...
- Un fallo en CloudFlare expone datos privados de su...
- AMD presenta oficialmente Ryzen R7 y alcanza en re...
- Un fan de NVIDIA asesina en Rusia un fan de AMD
- Google anuncia la primera colisión de SHA1
- RootedCON 2017 se celebra durante los días 2, 3 y ...
- Microsoft retrasa sus actualizaciones de seguridad...
- Con sólo 15 años hackeó ordenadores de la NASA
- Presentan como prodigio en informática a joven que...
- DEFT Zero presenta su edición 2017 para el análisi...
- El 0-Day de WordPress permite el hackeo de 1,5 mil...
- 8 tarjetas gráficas GTX 1080 conectadas para crack...
- Un nuevo fallo grave provoca DoS al software BIND DNS
- Universidad sufre un ataque DDoS de sus propios di...
- El 75% de todo el Ransomware es desarrollado por r...
- WhatsApp incorpora verificación en dos pasos
- Vulnerabilidades en las cerraduras inteligentes Bl...
- Solucionada vulnerabilidad XSS en Steam de Valve
- La Policía interviene en Málaga una operadora por ...
- Un sofisticado malware en memoria está infectando ...
- De nuevo hackean impresoras vulnerables imprimiend...
- El vendedor de Smart TV Vizio multado con 2.2$ mil...
- Un hacker tumba más de 10 mil páginas de la dark w...
- Ransomware Charger secuestra tu teléfono a cambio ...
- Una multa de tráfico falsa de la DGT infecta tu or...
- Cómo Google manejó el mayor ataque DDoS de la Botn...
- Documental: Big Data, conviviendo con el algoritmo
- Rusia detiene a varios expertos en ciberseguridad ...
- Nuevas vulnerabilidades críticas en routers Netgear
- Dos arrestados en Londres por infectar la red CCTV...
- 0-day en SMB afecta a múltipes versiones de Window...
- Windows Defender ATP te protegerá del Ransomware
- Gobierno holandés contará todas las papeletas a ma...
- Backblaze publica su ranking de fiabilidad de disc...
- Apple elimina iCloud Activation Lock Page por un f...
- Nueva actualización de seguridad para WordPress
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Solucionada vulnerabilidad XSS en Steam de Valve
viernes, 10 de febrero de 2017
|
Publicado por
el-brujo
|
Editar entrada
La popular plataforma de juegos en línea Steam va a solucionar una seria
vulnerabilidad que podría ser explotada por los hackers para redirigir a
los usuarios a sitios web maliciosos, utilizar sus fondos de mercado y
también cambiar su perfil.
Cuando usted está desarrollando un sitio web que almacena cualquier información proporcionada por los usuarios, entra en una base de datos. La seguridad básica exige que NUNCA confíes en los datos proporcionados por el usuario, debe filtrarse en un formato seguro antes de que llegue a la base de datos, protegiéndolos de la inyección de código, XSS (Cross-Site Scripting) y otros problemas.
Debido a que la apertura era títulos de guía, era una solución muy simple: detener los títulos de guía que se inserta tal como está de lo creado por el usuario original. Cuando se crea un marcado HTML, se utiliza <> para designar lo que es un elemento, pero si desea que esos símbolos sean sólo texto, entonces los cambia a sus valores de Entidad HTML, por lo que se convierte en & gt ;, en PHP por ejemplo es tan simple como
La plataforma de juegos en línea Steam está arreglando un error grave que podría explotarse para redirigir a los usuarios a sitios web maliciosos y hacerse cargo de su perfil.
Parece que la explotación de XSS en Steam Profiles ha sido sólo parcialmente fijada, parece que la falla se ha fijado sólo las páginas de alimentación inicial, pero sigue estando presente en las páginas siguientes.
Los atacantes pueden explotar la falla insertando JavaScript y otro código malicioso en sus perfiles, entonces el código se ejecuta sin ninguna advertencia en los equipos de cualquiera que visite la página atrapada.
La vulnerabilidad se informó por primera vez en un hilo Reddit esta semana y los expertos observaron que en pocas horas después de su divulgación muchas personas creaban perfiles que contenían el código para activar la vulnerabilidad.
Según Ars, la mayoría de las páginas explotan simplemente redirigir a los visitantes a un sitio con código PHP que les pide que descarguen un archivo desconocido.
"Tales redirecciones, sin embargo, son posiblemente sólo una pequeña muestra de lo que la vulnerabilidad subyacente hace posible. Un participante de Reddit dijo aquí y aquí que la visualización de perfiles maliciosos podría obligar a la gente a hacer compras con sus fondos del mercado de vapor ", informó el Ars.
Claramente, la falla en la plataforma de Steam también podría explotarse para robar las cookies de autenticación usadas y controlar las cuentas de usuario de los visitantes.
Se espera que el número de perfiles infectados crezca rápidamente porque es suficiente que los usuarios visiten un perfil malicioso existente.
La plataforma Steam ya fue explotada por los hackers en el pasado para lanzar ataques cibernéticos. En octubre de 2016, el investigador de malware Lawrence Abrams descubrió un usuario de Reddit que está advirtiendo de la existencia de cuentas de Steam piratas utilizadas para difundir un troyano de acceso remoto (RAT).
En marzo de 2016, el experto en seguridad de Kaspersky Lab, Santiago Pontiroli, y Bart P, investigador independiente de seguridad, publicaron un interesante análisis del malware dirigido a la plataforma de juegos de Steam y la evolución de las amenazas a lo largo de los últimos años,
Valve calculó que cerca de 77.000 cuentas son secuestradas y saqueadas cada mes.
De nuevo al presente, los usuarios de Steam que piensen que pueden haber visitado un perfil malicioso desean comprobar sus ajustes y deben cambiar sus contraseñas. Siempre sugerimos también para permitir la autenticación de dos factores para evitar sorpresas feas.
Lo que sucedió aquí es que los títulos de Steam Guide se almacenaron exactamente como se ingresaron, y luego cuando mostraba estas guías en su "Mi Showcase" en su perfil, se incluiría exactamente como lo escribió originalmente, directamente en el marcado de la página . Los títulos tienen un límite de 128 caracteres, pero también se pueden mostrar 4 guías en cualquier momento. Usando este límite de 128 caracteres, podría decirle a un navegador que evalúe el texto en otro lugar como si fuera código JavaScript y, por lo tanto, eludir este límite.
Debido a que el sitio web de Steam depende significativamente de JavaScript, es casi una garantía de que cualquier usuario que navega por el perfil tiene habilitado, por lo que podría ser abusado de forma fiable.
Fuentes:
https://www.reddit.com/r/Steam/comments/5srlwd/the_steam_community_exploit_explained_indepth_by/
http://securityaffairs.co/wordpress/56090/hacking/steam-fixing-xss.html
Cuando usted está desarrollando un sitio web que almacena cualquier información proporcionada por los usuarios, entra en una base de datos. La seguridad básica exige que NUNCA confíes en los datos proporcionados por el usuario, debe filtrarse en un formato seguro antes de que llegue a la base de datos, protegiéndolos de la inyección de código, XSS (Cross-Site Scripting) y otros problemas.
Debido a que la apertura era títulos de guía, era una solución muy simple: detener los títulos de guía que se inserta tal como está de lo creado por el usuario original. Cuando se crea un marcado HTML, se utiliza <> para designar lo que es un elemento, pero si desea que esos símbolos sean sólo texto, entonces los cambia a sus valores de Entidad HTML, por lo que
htmlspecialchars($title);
Valve sopluciona una seria vulnerabilidad en la plataforma de juegos online de Steam
La plataforma de juegos en línea Steam está arreglando un error grave que podría explotarse para redirigir a los usuarios a sitios web maliciosos y hacerse cargo de su perfil.
Parece que la explotación de XSS en Steam Profiles ha sido sólo parcialmente fijada, parece que la falla se ha fijado sólo las páginas de alimentación inicial, pero sigue estando presente en las páginas siguientes.
Los atacantes pueden explotar la falla insertando JavaScript y otro código malicioso en sus perfiles, entonces el código se ejecuta sin ninguna advertencia en los equipos de cualquiera que visite la página atrapada.
La vulnerabilidad se informó por primera vez en un hilo Reddit esta semana y los expertos observaron que en pocas horas después de su divulgación muchas personas creaban perfiles que contenían el código para activar la vulnerabilidad.
Según Ars, la mayoría de las páginas explotan simplemente redirigir a los visitantes a un sitio con código PHP que les pide que descarguen un archivo desconocido.
"Tales redirecciones, sin embargo, son posiblemente sólo una pequeña muestra de lo que la vulnerabilidad subyacente hace posible. Un participante de Reddit dijo aquí y aquí que la visualización de perfiles maliciosos podría obligar a la gente a hacer compras con sus fondos del mercado de vapor ", informó el Ars.
Claramente, la falla en la plataforma de Steam también podría explotarse para robar las cookies de autenticación usadas y controlar las cuentas de usuario de los visitantes.
Se espera que el número de perfiles infectados crezca rápidamente porque es suficiente que los usuarios visiten un perfil malicioso existente.
La plataforma Steam ya fue explotada por los hackers en el pasado para lanzar ataques cibernéticos. En octubre de 2016, el investigador de malware Lawrence Abrams descubrió un usuario de Reddit que está advirtiendo de la existencia de cuentas de Steam piratas utilizadas para difundir un troyano de acceso remoto (RAT).
En marzo de 2016, el experto en seguridad de Kaspersky Lab, Santiago Pontiroli, y Bart P, investigador independiente de seguridad, publicaron un interesante análisis del malware dirigido a la plataforma de juegos de Steam y la evolución de las amenazas a lo largo de los últimos años,
Valve calculó que cerca de 77.000 cuentas son secuestradas y saqueadas cada mes.
De nuevo al presente, los usuarios de Steam que piensen que pueden haber visitado un perfil malicioso desean comprobar sus ajustes y deben cambiar sus contraseñas. Siempre sugerimos también para permitir la autenticación de dos factores para evitar sorpresas feas.
Lo que sucedió aquí es que los títulos de Steam Guide se almacenaron exactamente como se ingresaron, y luego cuando mostraba estas guías en su "Mi Showcase" en su perfil, se incluiría exactamente como lo escribió originalmente, directamente en el marcado de la página . Los títulos tienen un límite de 128 caracteres, pero también se pueden mostrar 4 guías en cualquier momento. Usando este límite de 128 caracteres, podría decirle a un navegador que evalúe el texto en otro lugar como si fuera código JavaScript y, por lo tanto, eludir este límite.
Debido a que el sitio web de Steam depende significativamente de JavaScript, es casi una garantía de que cualquier usuario que navega por el perfil tiene habilitado, por lo que podría ser abusado de forma fiable.
Fuentes:
https://www.reddit.com/r/Steam/comments/5srlwd/the_steam_community_exploit_explained_indepth_by/
http://securityaffairs.co/wordpress/56090/hacking/steam-fixing-xss.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.