Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
abril
(Total:
21
)
- Europol cierra WebStresser; servicio de pago para ...
- Bloquear todos los subdominios de Facebook, Google...
- Diferencias entre Google Backup Sync y File Stream...
- Foto de WhatsApp permite detener tráficante de drogas
- Hackean un casino a través de un termómetro de una...
- Intel y Microsoft usarán la GPU integrada para bus...
- El FBI y el CERT advierten de ataques Rusos contra...
- Telegram entrega en broma las llaves de cifrado al...
- GrayKey, el gadget que usará la policía para desbl...
- Fabricantes de teléfonos Android mienten acerca de...
- Actualizaciones críticas para productos Microsoft,...
- Hackean cuenta Vevo de YouTube y borran temporalme...
- Disponible HandBrake 1.1.0: conversor libre archiv...
- El FBI desbloquea móviles con huellas de muertos
- Cuidado con lo que copias: caracteres de ancho cero
- Averigua modelo de móvil de otra persona con sólo ...
- Absuelven informático denunciado por reportar aguj...
- La Policía detiene a dos universitarios en Valenci...
- Vulnerabilidad crítica en el CMS Drupal
- DNS públicos de CloudFlare: 1.1.1.1 y 1.0.0.1
- Hackeadas 150 millones de cuentas de MyFitnessPal
-
▼
abril
(Total:
21
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Cuidado con lo que copias: caracteres de ancho cero
domingo, 8 de abril de 2018
|
Publicado por
el-brujo
|
Editar entrada
Los caracteres de ancho cero son caracteres invisibles, "sin impresión",
que no se muestran en la mayoría de las aplicaciones. Esto permite, por ejemplo, al copiar un texto se pueden copiar otros campos de un formulario de forma oculta e invisible para el usuario usando JavaScript. Estos
caracteres se pueden usar para 'huella digital' de texto para ciertos
usuarios.
Los caracteres invisibles suelen ser un tipo de caracteres unicode que no podemos ver a simple vista, por ejemplo, el zero-width space, un espacio que no ocupa ancho en el texto y que se puede camuflar junto a cualquier otro texto, o los zero-width non-joiner, signos de puntuación igualmente invisibles.
Los caracteres invisibles son una técnica muy utilizada en la red que permite, por ejemplo, introducir una serie de caracteres que no se imprimen en pantalla es un texto de manera que se pueda saber cuándo alguien copia ese texto sin permiso a otra página, ya que copiaría igualmente estos caracteres y los pegaría donde se introdujera el texto.
Para evitar problemas con URLS, Las reglas de la ICANN prohíben que los nombres de dominio incluyan caracteres no mostrados como espacio de ancho cero y la mayoría de los navegadores incluyen su uso en nombres de dominio, ya que pueden usarse para crear un ataque homógrafo, donde una URL maliciosa es indistinguible visualmente de una legítima..
¿Cómo?
Para explicarlo simplemente; se puede copiar la cadena de un campo de un nombre de usuario se convertiría en su forma binaria y luego el binario se convertiría en una serie de caracteres de ancho cero que representan cada dígito binario. La cadena de ancho cero podría insertarse de forma invisible en el texto. Si dicho texto se publicó en otro lugar, se puede extraer la cadena de caracteres de ancho cero y se puede invertir el proceso para descubrir el nombre de usuario de la persona que lo copió.
Convertir a binario:
Unicode tiene los siguientes caracteres de ancho cero:
Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como ataques homográficos.
Fuente:
https://medium.com/@umpox/be-careful-what-you-copy-invisibly-inserting-usernames-into-text-with-zero-width-characters-18b4e6f17b66
Zero-width space (ZWSP)
Los caracteres invisibles suelen ser un tipo de caracteres unicode que no podemos ver a simple vista, por ejemplo, el zero-width space, un espacio que no ocupa ancho en el texto y que se puede camuflar junto a cualquier otro texto, o los zero-width non-joiner, signos de puntuación igualmente invisibles.
Los caracteres invisibles son una técnica muy utilizada en la red que permite, por ejemplo, introducir una serie de caracteres que no se imprimen en pantalla es un texto de manera que se pueda saber cuándo alguien copia ese texto sin permiso a otra página, ya que copiaría igualmente estos caracteres y los pegaría donde se introdujera el texto.
Para evitar problemas con URLS, Las reglas de la ICANN prohíben que los nombres de dominio incluyan caracteres no mostrados como espacio de ancho cero y la mayoría de los navegadores incluyen su uso en nombres de dominio, ya que pueden usarse para crear un ataque homógrafo, donde una URL maliciosa es indistinguible visualmente de una legítima..
¿Cómo?
Para explicarlo simplemente; se puede copiar la cadena de un campo de un nombre de usuario se convertiría en su forma binaria y luego el binario se convertiría en una serie de caracteres de ancho cero que representan cada dígito binario. La cadena de ancho cero podría insertarse de forma invisible en el texto. Si dicho texto se publicó en otro lugar, se puede extraer la cadena de caracteres de ancho cero y se puede invertir el proceso para descubrir el nombre de usuario de la persona que lo copió.
Convertir a binario:
Pasar de binario a carácteres de ancho ceroconst zeroPad = num => ‘00000000’.slice(String(num).length) + num;const textToBinary = username => ( username.split('').map(char => zeroPad(char.charCodeAt(0).toString(2))).join(' ') );
const binaryToZeroWidth = binary => ( binary.split('').map((binaryNum) => { const num = parseInt(binaryNum, 10); if (num === 1) { return ''; // zero-width space } else if (num === 0) { return ''; // zero-width non-joiner } return ''; // zero-width joiner }).join('') // zero-width no-break space );
Unicode tiene los siguientes caracteres de ancho cero:
- U + 200B espacio de ancho cero
- Punto de código Unicode non-joiner de ancho cero U + 200C
- U + 200D punto de código Unicode de unión de ancho cero
- U + FEFF ancho cero espacio sin interrupción punto de código Unicode
Unicode has the following zero-width characters:
- U+200B zero width space
- U+200C zero width non-joiner Unicode code point
- U+200D zero width joiner Unicode code point
- U+FEFF zero width no-break space Unicode code point
Demostración
En esta página web encontramos un ejemplo práctico:- campo 1: escribes un nombre deu suario
- campo 2: seleccionas y copias la frase que hay ahí escrita en inglés
- campo 3: pegas lo frase anteriormente copiada.
- campo 4: aparece lo que has escrito en campo 1
Phishing con caracteres Unicode
Con el uso de Punycode se pueden representar
caracteres Unicode mediante el subconjunto de caracteres ASCII empleado para
los nombres en Internet. De esta forma se pueden registrar dominios que hagan
uso de caracteres no permitidos, por ejemplo podríamos registrar un dominio
como España.com que quedaría como xn--espaa-rta.com. Evidentemente no es muy
empleado porque para temas como el SEO, promoción y marca, no es muy eficiente.
Queda raro que haya que escribir algo como xn--espaa-rta.com.
Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como "xn--pple-43d.com", equivalente a "аpple.com" por el uso de la a en cirílico "а" (U+0430) en vez de la "a" en ASCII (U+0041). Este tipo de ataques son conocidos como ataques homográficos.
Los navegadores modernos tienen
mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la
forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes
diferentes. De esta forma, por ejemplo el dominio "xn--pple-43d.com" aparecerá
como tal (en vez de "аpple.com") al contar con caracteres de dos
lenguajes, de esta forma se evita la confusión con el dominio real.
Extensión para Google Chrome muestra los “caracteres invisibles” en una web
La extensión muestra los carácteres con emoticonos.Fuente:
https://medium.com/@umpox/be-careful-what-you-copy-invisibly-inserting-usernames-into-text-with-zero-width-characters-18b4e6f17b66
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.