Skip to main content

Posts

Showing posts from 2019

Clickjacking attacks: definition and mitigation mechanisms

What is a clickjacking attack and how is it launched? Clickjacking attacks are also known as user interface (UI) redress attacks and belong to the category of user interface misrepresentation of critical information [0] . In order to launch a clickjacking attack the attacker creates a malicious website by combining multiple layers (transparent and opaque) so as to deceive users who think are clicking a link inside the website they are viewing when in fact they are clicking an invisible superior element [1] . This same technique can be used to “hijack” the pressed keys when the user types in a text field of the malicious website. For the purpose of preparing a website with these characteristics, the attacker needs the following: Be able to embed inside the malicious website the content of another website or web application (the victim of the attack) whose users are to be deceived. This can be achieved by using HTML frame or iframe tags. For example, the website of a bank could...

Ataques de clickjacking: definición y mecanismos de prevención

¿Qué es y cómo se lleva acabo un ataque de clickjacking? Los ataques de clickjacking (secuestro de clics) son también conocidos como ataques de redirección de la interfaz del usuario y pertenecen a la categoría de ataques de falsificación de información crítica en la interfaz de usuario [0] . Para llevar a cabo un ataque de clickjacking un atacante crea un sitio web malicioso combinando múltiples capas (transparentes y opacas) para poder engañar a los usuarios, quienes creen estar haciendo clic en un botón o enlace de la página que están visualizando, pero en realidad están haciendo clic en un elemento invisible superior [1] . Esta misma técnica también puede ser usada para "secuestrar" las teclas presionadas cuando el usuario escribe dentro de un campo de texto del sitio web malicioso. Para poder preparar un sitio web con estas características, el atacante necesita lo siguiente: Poder embeber dentro del sitio web malicioso el contenido de otro sitio o aplicación web ...

Google Dorking: How to verify the security of your website or web application using Google

Google Dorking (also known as Google Hacking) is a resource often used by cybersecurity specialists. It consists in using the basic and advanced operators supported by Google to perform very specific searches to detect vulnerabilities or sensitive information incorrectly published on a website or a web application. Firstly, to clarify how these operators can be used in this way, a list of basic search operators supported by Google is detailed below  [1] : Operator Example search Meaning "" "MySQL dump 10.13" Exact search. It only shows results which contain the exact expression  MySQL dump 10.13 . AND computer AND security Logical operator AND. Used by default if no other operator is specified. It shows results with the term  computer and also the term  security . OR computer OR security Logical operator OR. It shows results which contain the term  computer ,  security or both. | computer | securit...

Google Dorking: Verificar la seguridad de tu sitio o aplicación web usando Google

Google Dorking (también conocido como Google Hacking) es un recurso muy utilizado por los especialistas en ciberseguridad. Consiste en utilizar los operadores básicos y avanzados soportados por Google para realizar búsquedas muy específicas y poder detectar vulnerabilidades o información sensible incorrectamente publicada en un sitio o aplicación web. Para dejar en claro como se pueden utilizar estos operadores en el sentido mencionado, se detalla a continuación un listado de los operadores de búsqueda básicos soportados por Google [1] : Operador Búsqueda de ejemplo Significado "" "MySQL dump 10.13" Búsqueda exacta. Muestra sólo resultados que contengan la expresión exacta MySQL dump 10.13 . AND computer AND security Operador lógico AND. Utilizado por defecto si no se especifica ningún operador. Muestra resultados que contengan el término computer y también el término security . OR computer OR security Operador lógi...

How to disable weak SSH cipher and MAC algoritms in Ubuntu 14.04 (or any other GNU/Linux distro)

If you still have an Ubuntu 14.04 LTS (or any other old distro) in a production environment, most likely the SSH service is accepting weak cipher and MAC algorithms. At present, the cipher algorithms considered to be weak are: CBC (3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, blowfish-cbc, cast128-cbc, and rijndael-cbc@lysator.liu.se) [1]   [2] and RC4 (arcfour, arcfour128, and arcfour256) [3] . While the MAC algorithms in this condition are: MD5 (hmac-md5, hmac-md5-96, hmac-md5-96-etm@openssh.com, and hmac-md5-etm@openssh.com) and 96-bit algorithms (hmac-sha1-96 and hmac-sha1-96-etm@openssh.com). Now, how is it possible to know if these algorithms are being used by the SSH service in any given GNU/Linux system? Simply by executing the following command within the system we want to verify (assuming the SSH service is listening on port TCP/22): # ssh -vvv localhost -p 22 The previous command should show an output similar to this one: Here, all the algorithms supported ...

Deshabilitar algoritmos MAC y de cifrado vulnerables utilizados por SSH en Ubuntu 14.04 (o cualquier otra distro GNU/Linux)

Si todavía tienes alguna versión de Ubuntu 14.04 LTS (u otra distro vieja) en producción, lo más probable es que el servicio de SSH esté aceptando algoritmos MAC y/o de cifrado vulnerables. Actualmente, los algoritmos de cifrado considerados vulnerables son: CBC (3des-cbc, aes128-cbc, aes192-cbc, aes256-cbc, blowfish-cbc, cast128-cbc y rijndael-cbc@lysator.liu.se) [1]   [2] y RC4 (arcfour, arcfour128 y arcfour256) [3] . Mientras que los algoritmos MAC en esta condición son: MD5 (hmac-md5, hmac-md5-96, hmac-md5-96-etm@openssh.com y hmac-md5-etm@openssh.com) y algoritmos de 96-bit (hmac-sha1-96 y hmac-sha1-96-etm@openssh.com). Ahora bien, cómo saber si estos algoritmos están siendo utilizados por el servicio de SSH de un sistema GNU/Linux en particular? Simplemente ejecutando el siguiente comando dentro del mismo sistema que queremos verificar (y suponiendo que el servicio SSH está escuchando en el puerto TCP/22): # ssh -vvv localhost -p 22 El comando anterior, debería mostra...