State X

Hacking, Curiosidades y Opiniones En Mi Viaje Por La Seguridad Informática.

Páginas

### Aprende ###
### Papers ###
### Mis Herramientas ###
###Erratas###
[StateList(SecList)]
### SecGoog ###

Este blog ya no está activo, sigue informándote aquí:

Un informático en el lado del mal

Codetalks for Developers 2024: Tecnología, Creatividad e Ideas Locas en píldoras de 20 minutos - Estamos llegando al final del año y es un buen momento para recordar esta edición *2024* de nuestros CodeTalks Temporada 7 que hacemos desde Ideas Locas, p...
Hace 12 horas
Blog elhacker.NET

Un chaval de 13 años crea una criptomoneda y logra estafar 46.000 euros a quienes habían apostado por él. Se mofó de todos en directo - El mundo de las criptomonedas, tan volátil como es, y con tantas promesas de riqueza instantánea como acoge, ha sido escenario de todo tipo de historias,...
Hace 2 días
hackplayers

Carseat: una implementación en Python de Seatbelt - Carseat es una implementación de Python de Seatbelt. Esta herramienta contiene todos los módulos (todos menos uno, técnicamente) de Seatbelt que admiten ...
Hace 6 días
Security Art Work

Operaciones de proximidad en el ciberespacio - En el ámbito de las operaciones en el ciberespacio, la mayor parte de operaciones de ataque o explotación son remotas, es decir, se realizan a través de ...
Hace 1 año
Gobierno de la ciberseguridad

Gestión de incidentes y crisis, cuando el "MundoReal" impacta en primera persona. - Este blog técnico siempre ha orientado sus contenidos a compartir conocimientos en la materia o comentar situaciones cotidianas analizadas desde la persp...
Hace 2 años
ConexionInversa

IRCP: la primera certificación de ciberseguridad práctica especializada en Respuesta ante Incidentes y Análisis Forense Digital - Ha sido desarrollada por una empresa de seguridad española y mide conocimientos reales de respuesta ante incidentes de seguridad, aplicados en un entorno...
Hace 6 años

Mostrar 5 Mostrar todo

martes, 7 de enero de 2014

Url Redirection Vulnerability.- Facebook con PoC

Hace tiempo que no hacia experimentos en este blog pero después de la bronca del señor [Snifer] en los comentarios de [la entrada de hace dos] días me he puesto manos a la obra. Hoy os traigo una vulnerabilidad de Url Redirection para Facebook con una prueba de concepto que aun a día de hoy esta vigente.

Una vulnerabilidad de Url Redirection es una técnica para hacer que una página web esté disponible en más de una URL de direcciones. Cuando un navegador web intenta abrir un URL que ya ha sido redirigida, se abre una página con una URL diferente.

En este caso Facebook tiene un par de vulnerabilidades tanto en su apps.facebook.com como facebook.com

Vulnerabilidad para apps.facebook.com:

(Solo hace falta que cambiéis el http://infostatex.blogspot.com.es por una pagina a vuestra elección, si fuéramos malos pondríamos una pagina maliciosa)
https://apps.facebook.com/a.php?u=http://infostatex.blogspot.com.es/&mac=AQLy7nyXi5NBt31j&__tn__=*B&eid=AQLpbizR7KEf3cyD0VTN7fNtv99fMZABDp2gdWhvL-MQocJIPy3w4hUG7_7hrmSMqDq7QLCI9k_0LbB95NEz_6GUDHGNgTDsGP_rX-VWRHxfg5a--VlnN1K9FdG3NAek8r2JPWENkb2Mu56EckbZCGXcPie27OnHxE-H7MBufQel0Pr-ZjpCWB6QF5xHeWsdKqyHzjK2woBGGrjk9Dlgnzcw3d9ZWPzrwbGpm6MSkpks3mqEphXnTP2Vd9UDQxIs68NnTaO35XIwKq5t3CSdb11iU_34gzjfLgvvDo_BYbgtrGe0Juc5CpRSwd5nImw9oPPvn6Za9rrxO_ivROtOGc2b2S3bYzNLWpbDwt3cFN2rJ3JElyIR0vjB4R859PpE9SrZx6AD3s_liikzPh30YLVb8XvPABk7r9MShk6OrVFPiAWZnEvPx49UzPDSF-nEl188rEPAi0KGJ4u1zb10hhzmHUCjH04SezDByUkyNituMb2lgiQz-Xlpgy_tkVYR-U7plDa38N9VzdAj_Bwefd7B85ykZCAy9ZQOt48Ql8KQeKfivk3sThZIkLwWPiju7R28Sw6bj09vS_Y28kFSqanGe9tYAPfKIe4zOzQt9-Q1CC_EwX3ypOlyQ2yXMiU3lwp7M9EriKHRFDsTgsuzzF-uvlpx3UrWh8M55-NX0ULjr4kxjAR5g_1wU-luUyn_Ot6Ly1_ZbBdahyb5uSmCDNvF5kMuIH8Gxvpql45dNffGzKau9oZGn6r1OmsG47JIGipznCVaZnWjXAakDnEMX6X8ZtI-M-db1olzbBpJdj5sZe-x2VM02S5XsXJWe_QLxFDOupjbz8I82HETHQ9PbzSIMsJboll4E3-f_JQFfdzwEguLa8SC_ImRahWBCwKNJeSlmRv91FqWpQaChe5-UyAoqcblvK4jPuRO3qC7o-qMTQ2jEJqqUW46koulOmgNJpMYXPgRxjNGcwjyTPS59Nr08zq6eCNd1aYLh2E4s5MYXBtVUTF8l0uhQ2wYSoR66xZsI2tK0DD1KiQHyTO1QieBwPtCN3eWgRzUTg3lM3ttkuwYKRPPLDvtUOPWmZhYUzUFcbfPM2kXdpqyGlrGx9-ErKGygYKATx2xzrTzktjgW4q0L5wfO3CSKAOCAoKfi_pfz-zIHSNE8ZAjZDtpbC_chgkvbHWJYYIs7pnE1riWJYORACjkkRr6nZoivC3z_g-8JBahghwy2C34kJYZJ6cBC8LKoB6KCTbj_F1tArQAzcSUij4vrJNUATzsdlO_ol6HwUQb8FjoWa38Bhtx81stxB328sgC9IGu1omPG0QeNJVhcJwh6HyEwtgycBLrlcdedaWbkwvnjv3F3BWuJIi763nBeYuAgNUaEUYHaXu_ZJzXW8fQ72nz_hddGT_GH50&sig=89099

Vulnerabilidad para facebook.com:

(Solo hace falta que cambiéis el http://infostatex.blogspot.com.es por una pagina a vuestra elección, si fuéramos malos pondríamos una pagina maliciosa)
https://facebook.com/a.php?u=http://infostatex.blogspot.com.es&mac=AQLy7nyXi5NBt31j&__tn__=*B&eid=AQLpbizR7KEf3cyD0VTN7fNtv99fMZABDp2gdWhvL-MQocJIPy3w4hUG7_7hrmSMqDq7QLCI9k_0LbB95NEz_6GUDHGNgTDsGP_rX-VWRHxfg5a--VlnN1K9FdG3NAek8r2JPWENkb2Mu56EckbZCGXcPie27OnHxE-H7MBufQel0Pr-ZjpCWB6QF5xHeWsdKqyHzjK2woBGGrjk9Dlgnzcw3d9ZWPzrwbGpm6MSkpks3mqEphXnTP2Vd9UDQxIs68NnTaO35XIwKq5t3CSdb11iU_34gzjfLgvvDo_BYbgtrGe0Juc5CpRSwd5nImw9oPPvn6Za9rrxO_ivROtOGc2b2S3bYzNLWpbDwt3cFN2rJ3JElyIR0vjB4R859PpE9SrZx6AD3s_liikzPh30YLVb8XvPABk7r9MShk6OrVFPiAWZnEvPx49UzPDSF-nEl188rEPAi0KGJ4u1zb10hhzmHUCjH04SezDByUkyNituMb2lgiQz-Xlpgy_tkVYR-U7plDa38N9VzdAj_Bwefd7B85ykZCAy9ZQOt48Ql8KQeKfivk3sThZIkLwWPiju7R28Sw6bj09vS_Y28kFSqanGe9tYAPfKIe4zOzQt9-Q1CC_EwX3ypOlyQ2yXMiU3lwp7M9EriKHRFDsTgsuzzF-uvlpx3UrWh8M55-NX0ULjr4kxjAR5g_1wU-luUyn_Ot6Ly1_ZbBdahyb5uSmCDNvF5kMuIH8Gxvpql45dNffGzKau9oZGn6r1OmsG47JIGipznCVaZnWjXAakDnEMX6X8ZtI-M-db1olzbBpJdj5sZe-x2VM02S5XsXJWe_QLxFDOupjbz8I82HETHQ9PbzSIMsJboll4E3-f_JQFfdzwEguLa8SC_ImRahWBCwKNJeSlmRv91FqWpQaChe5-UyAoqcblvK4jPuRO3qC7o-qMTQ2jEJqqUW46koulOmgNJpMYXPgRxjNGcwjyTPS59Nr08zq6eCNd1aYLh2E4s5MYXBtVUTF8l0uhQ2wYSoR66xZsI2tK0DD1KiQHyTO1QieBwPtCN3eWgRzUTg3lM3ttkuwYKRPPLDvtUOPWmZhYUzUFcbfPM2kXdpqyGlrGx9-ErKGygYKATx2xzrTzktjgW4q0L5wfO3CSKAOCAoKfi_pfz-zIHSNE8ZAjZDtpbC_chgkvbHWJYYIs7pnE1riWJYORACjkkRr6nZoivC3z_g-8JBahghwy2C34kJYZJ6cBC8LKoB6KCTbj_F1tArQAzcSUij4vrJNUATzsdlO_ol6HwUQb8FjoWa38Bhtx81stxB328sgC9IGu1omPG0QeNJVhcJwh6HyEwtgycBLrlcdedaWbkwvnjv3F3BWuJIi763nBeYuAgNUaEUYHaXu_ZJzXW8fQ72nz_hddGT_GH50&sig=89099

Prueba de Concepto:

Sed Buenos con esto ;)

Fuente: http://www.blackploit.com/

Publicado por StateX en 23:15:00

Enviar por correo electrónico Escribe un blog Compartir en X Compartir con Facebook Compartir en Pinterest

Etiquetas 2014, Facebook, Información, Seguridad, Url Redirection, Vulnerbilidades

No hay comentarios:

Publicar un comentario

Entrada más reciente Entrada antigua Inicio

Suscribirse a: Enviar comentarios (Atom)

Seguir a @State_X

Certified Ethical Hacking

Titulado como Perito Telemático Forense

Por ANTPJI y UDIMA

Archivo del blog

► 2018 (112)
- ► junio (1)
- ► mayo (19)
- ► abril (23)
- ► marzo (19)
- ► febrero (24)
- ► enero (26)

► 2017 (288)
- ► diciembre (25)
- ► noviembre (26)
- ► octubre (27)
- ► septiembre (26)
- ► agosto (9)
- ► julio (25)
- ► junio (24)
- ► mayo (27)
- ► abril (23)
- ► marzo (27)
- ► febrero (23)
- ► enero (26)

► 2016 (300)
- ► diciembre (26)
- ► noviembre (26)
- ► octubre (23)
- ► septiembre (26)
- ► agosto (15)
- ► julio (26)
- ► junio (26)
- ► mayo (27)
- ► abril (25)
- ► marzo (27)
- ► febrero (26)
- ► enero (27)

► 2015 (332)
- ► diciembre (27)
- ► noviembre (26)
- ► octubre (28)
- ► septiembre (29)
- ► agosto (23)
- ► julio (28)
- ► junio (28)
- ► mayo (29)
- ► abril (29)
- ► marzo (29)
- ► febrero (26)
- ► enero (30)

▼ 2014 (348)
- ► diciembre (29)
- ► noviembre (29)
- ► octubre (31)
- ► septiembre (27)
- ► agosto (27)
- ► julio (30)
- ► junio (29)
- ► mayo (30)
- ► abril (29)
- ► marzo (30)
- ► febrero (25)
- ▼ enero (32)

► 2013 (362)
- ► diciembre (32)
- ► noviembre (27)
- ► octubre (29)
- ► septiembre (30)
- ► agosto (31)
- ► julio (31)
- ► junio (30)
- ► mayo (31)
- ► abril (30)
- ► marzo (31)
- ► febrero (28)
- ► enero (32)

► 2012 (108)
- ► diciembre (31)
- ► noviembre (30)
- ► octubre (30)
- ► septiembre (17)

Visitas en State X

Buzón Para Sugerencias, Dudas o Amenazas ;)

Nombre

Correo electrónico *

Mensaje *

Ayuda a programar a tonto (Nuestro asistente virtual)

raw_input("¿Me Ayudas con Python? ")

cd C:\Users\DoubleReboot

$cd C:\Users\DoubleReboot$
Tutoriales y Utilidades.

Entradas populares

Infografía.- ¿Qué puedo hacer contra el Malware en Smartphones?

Volvemos a los clásicos y ahora de la mano de la Europol que, supongo que algo saben de esto ya que con la que está cayendo mas de un caso ...
Snowden vs Facebook

Ya os comente el domingo pasado que estaba pensando en dejar Facebook. Pero aun no acabo de atreverme a dar el paso pese a saber lo que habí...
Infografía.-¿Cómo funciona el DSL?

Internet para todos ha sido magia, pero creo que es necesario para todos que entendamos como llega la conexión DSL a nuestra casa. Esta vez...
Hobbytruco.- Kali Linux, Apache2 y un archivo muy pesado.

Esto mas que un hobby truco es una advertencia para navegantes que, como yo, no sepan usar el TFTP que viene por defecto en Kali Linux. ...
Cheat Sheet.- La Magia del find

Por favor seguid ya a la cuanta de Twitter de [ Julia Evans ] que últimamente esta que se sale con los Cheat Sheet de varios comandos para ...
Vídeo.- Cómo construir una Máquina Recreativa (Arcade)

Algún dí, en cuanto tenga un sitio donde ponerla llegará una de estas. Pero, de momento, es mejor ir aprendiendo como se construyen y como ...
Infografia.- Ventajas de los IDS

Esta infografia viene a colación de una pregunta que me hizo un amigo hace una semana y la verdad es que por su cara, no creo que se entera...
The Fappening & Metadatos e.e

Llevo gran parte de la mañana pensando en como abordar el tema dela obtención de fotos intimas de famosas, del hackeo de icloud y de la dif...
Cheat Sheet.- Poster Memory Forensics.

Otro poster mas que añadir a nuestra colección si el otro día hablábamos del poster/chuleta para hacer forenses en Windows hoy toca ver como...
USBPcap.- ¿Mi Memoria USB Es Un Zombie?

Seguro que la gran mayoría de veces, después de trabajar con archivos en los ordenadores de la universidad o de cualquier equipo ajeno, os ...

Related Posts Plugin for WordPress, Blogger...

Con la tecnología de Blogger.