CrackStation ha liberado el diccionario de passwords o contraseñas que estos usan. Éste tiene un total de 1.493.677.782 palabras y un tamaño de 15Gb, 4.2 Gb en formato Gzip.
El diccionario está compuesto por todas las palabras de Wikipedia (páginas-artículos de 2010 en todos los idiomas), así como muchos de los libros del Proyecto Gutenberg. Además tienen todas las contraseñas que se filtraron de las instrusiones en LinkedIn o eHarmony.
Cross Site Scripting o XSS es una de las vulnerabilidades más devaluadas por parte de desarrolladores y administradores de sistemas. Quizás sea porque la típica prueba de concepto sea mostrar un mensajito en la pantalla (alert), pero herramientas como BeEF convierten este tipo de vulnarabilidades en muy peligrosas. De hecho en el Top 10 de vulnerabilidades del OWASP, ésta se encuentra en el número dos de la lista.
Quizás la web más conocida sobre ejemplos de ataques XSS sea la de ha.ckers, pero en esta entrada quería compartir esta otra lista de la web de vulnerability-lab.com, la cual, quizás, contenga más ejemplos que mencionada anteriormente.
Como anillo al dedo me viene esta plantilla. Una de las tareas que he estado haciendo esta última semana es la revisión de código de una de las aplicaciones que estamos desarrollando y madre mía…
En cierto momento la aplicación reventaba porque un índice de una array se iba de madre. Después de revisar dicha función, llego a la conclusión que lo que dicha función se supone debe hacer es que a partir de 2 listas de datos, poder mover elementos de una lista a la otra. Pues bien, al que escribió esa función no se le ocurrió mejor cosa que usar un total de 5 arrays, incluidas las 2 originales, para llevar a cabo dichas operaciones. Imagínate la cantidad de variables índices usadas por todos lados, claro y al final pasó lo que tenía que pasar, uno de esos índices tomaba un valor mayor del que debería.
Esta simple línea de comandos que os dejo a continuación nos permitirá para y arrancar servicios Windows desde un terminal Linux.
net rpc -I ADDRESS -U USERNAME%PASSWORD service {stop|start} SVCNAME
Todo lo que necesitas es tener instalado samba en tu Linux. (Ubuntu, debian…)
Nota: no te puedes ni imaginar cuanta gente, incluso empresas, dejan las claves de acceso por defecto en todo tipo de sistemas.
Lista de programas en Windows y su correspondiente comando. Si no encuentras el icono que buscas, ya sabes que comando ejecutar desde la shell.
| Windows Run Commands | |
| Accessibility Controls | access.cpl |
| Add Hardware Wizard | hdwwiz.cpl |
| Add/Remove Programs | appwiz.cpl |
| Administrative Tools | control admintools |
| Automatic Updates | wuaucpl.cpl |
| Bluetooth Transfer Wizard | fsquirt |
| Calculator | calc |
| Certificate Manager | certmgr.msc |
| Character Map | charmap |
| Check Disk Utility | chkdsk |
| Clipboard Viewer | clipbrd |
| Command Prompt | cmd |
| Component Services | dcomcnfg |
| Computer Management | compmgmt.msc |
| timedate.cpl | ddeshare |
| Device Manager | devmgmt.msc |
| Direct X Control Panel (If Installed)* | directx.cpl |
| Direct X Troubleshooter | dxdiag |
| Disk Cleanup Utility | cleanmgr |
| Disk Defragment | dfrg.msc |
| Disk Management | diskmgmt.msc |
| Disk Partition Manager | diskpart |
| Display Properties | control desktop |
| Display Properties | desk.cpl |
| Display Properties (w/Appearance Tab Preselected) | control color |
| Dr. Watson System Troubleshooting Utility | drwtsn32 |
| Driver Verifier Utility | verifier |
| Event Viewer | eventvwr.msc |
| File Signature Verification Tool | sigverif |
| Findfast | findfast.cpl |
| Folders Properties | control folders |
| Fonts | control fonts |
| Fonts Folder | fonts |
| Free Cell Card Game | freecell |
| Game Controllers | joy.cpl |
| Group Policy Editor (XP Prof) | gpedit.msc |
| Hearts Card Game | mshearts |
| Iexpress Wizard | iexpress |
| Indexing Service | ciadv.msc |
| Internet Properties | inetcpl.cpl |
| IP Configuration (Display Connection Configuration) | ipconfig /all |
| IP Configuration (Display DNS Cache Contents) | ipconfig /displaydns |
| IP Configuration (Delete DNS Cache Contents) | ipconfig /flushdns |
| IP Configuration (Release All Connections) | ipconfig /release |
| IP Configuration (Renew All Connections) | ipconfig /renew |
| IP Configuration (Refreshes DHCP & Re-Registers DNS) | ipconfig /registerdns |
| IP Configuration (Display DHCP Class ID) | ipconfig /showclassid |
| IP Configuration (Modifies DHCP Class ID) | ipconfig /setclassid |
| Java Control Panel (If Installed) | jpicpl32.cpl |
| Java Control Panel (If Installed) | javaws |
| Keyboard Properties | control keyboard |
| Local Security Settings | secpol.msc |
| Local Users and Groups | lusrmgr.msc |
| Logs You Out Of Windows | logoff |
| Microsoft Chat | winchat |
| Minesweeper Game | winmine |
| Mouse Properties | control mouse |
| Mouse Properties | main.cpl |
| Network Connections | control netconnections |
| Network Connections | ncpa.cpl |
| Network Setup Wizard | netsetup.cpl |
| Notepad | notepad |
| Nview Desktop Manager (If Installed) | nvtuicpl.cpl |
| Object Packager | packager |
| ODBC Data Source Administrator | odbccp32.cpl |
| On Screen Keyboard | osk |
| Opens AC3 Filter (If Installed) | ac3filter.cpl |
| Password Properties | password.cpl |
| Performance Monitor | perfmon.msc |
| Performance Monitor | perfmon |
| Phone and Modem Options | telephon.cpl |
| Power Configuration | powercfg.cpl |
| Printers and Faxes | control printers |
| Printers Folder | printers |
| Private Character Editor | eudcedit |
| Quicktime (If Installed) | QuickTime.cpl |
| Regional Settings | intl.cpl |
| Registry Editor | regedit |
| Registry Editor | regedit32 |
| Remote Desktop | mstsc |
| Removable Storage | ntmsmgr.msc |
| Removable Storage Operator Requests | ntmsoprq.msc |
| Resultant Set of Policy (XP Prof) | rsop.msc |
| Scanners and Cameras | sticpl.cpl |
| Scheduled Tasks | control schedtasks |
| Security Center | wscui.cpl |
| Services | services.msc |
| Shared Folders | fsmgmt.msc |
| Shuts Down Windows | shutdown |
| Sounds and Audio | mmsys.cpl |
| Spider Solitare Card Game | spider |
| SQL Client Configuration | cliconfg |
| System Configuration Editor | sysedit |
| System Configuration Utility | msconfig |
| System File Checker Utility (Scan Immediately) | sfc /scannow |
| System File Checker Utility (Scan Once At Next Boot) | sfc /scanonce |
| System File Checker Utility (Scan On Every Boot) | sfc /scanboot |
| System File Checker Utility (Return to Default Setting) | sfc /revert |
| System File Checker Utility (Purge File Cache) | sfc /purgecache |
| System File Checker Utility (Set Cache Size to size x) | sfc /cachesize=x |
| System Properties | sysdm.cpl |
| Task Manager | taskmgr |
| Telnet Client | telnet |
| User Account Management | nusrmgr.cpl |
| Utility Manager | utilman |
| Windows Firewall | firewall.cpl |
| Windows Magnifier | magnify |
| Windows Management Infrastructure | wmimgmt.msc |
| Windows System Security Tool | syskey |
| Windows Update Launches | wupdmgr |
| Windows XP Tour Wizard | tourstart |
| Wordpad | write |
Esto no es una de esas listas de las XX mejores sitios de seguridad. Simplemente una pequeña lista, que a raiz del hilo de discusión sobre el adiós de Milw0rm, se produjo en la lista de correo Web Security.
http://www.phrack.org/ http://www.darknet.org.uk/ http://milw0rm.com http://freeworld.thc.org/ http://www.remote-exploit.org/http://searchsecurity.techtarget.com/home/0,289692,sid14,00.html http://www.packetstormsecurity.org/ http://www.cultdeadcow.com/ http://www.irongeek.com/ http://insecure.org/ http://www.phenoelit-us.org/ http://xforce.iss.net/ http://www.securityfocus.com/bid