Archive for June 2013

[+] Redes sociales para niños: Club Penguin

Club penguin, el mundo virtual donde los niños juegan, se divierten, aprenden e interactúan de forma segura. El objetivo de crear Club Penguin fue: “que fuera un sitio en el que pudieran dejar jugar a sus hijos y nietos con su total tranquilidad”.

Para los niños más pequeños Club penguin se vuelve una experiencia muy grata, con la diversidad de juegos y actividades entretenidas donde sus protagonistas se ven beneficiados de distintas formas.



¿Que pueden hacer los niños ?

JUGAR: La parte que mas entretiene a los niños son la variedad de minijuegos presentes en Club Penguin y con ello ganar “monedas” para posteriormente utilizarlas en la implementación de sus personajes virtuales.


ADOPTAR MASCOTAS: Uno de los objetivos de adoptar mascotas es por un lado sentir esas necesidad de que alguien necesita de ti ( de los niños) y por otro lado el sentido de responsabilidad que significa tener a tu cuidado a los puffle´s.


PERSONALIZAR TU PERSONAJE: Los SOCIOS de Club Penguin tienen la posibilidad de personalizar a gusto a su personaje demostrando su creatividad en los estilos de ropa y combinaciones: Accesorios y ropa que mes a mes se actualizan.

CHATEAR CON AMIGOS: Esta plataforma cuenta con una chat bastante intuitivo que ayuda a los niños a conversar con sus amigos mediante frases sugeridas y su vez bloquear cualquier intento de usar lenguaje inapropiado.






BENEFICIOS PARA LOS SOCIOS

No se espanten cuando decimos que hay que hacerse socio, si bien hay que pagar una membresía las características que ganas gracias a esto aumentan la experiencia de tu hijo.


Encontrar el puffle que mejor va con su personalidad
Tener su propio lugar y decorarlo a su gusto 
Acceder a eventos especiales y experiencias reservadas solo para socios 
Expresar un estilo único con cientos de prendas de ropa y accesorios
Superarse a sí mismos y a sus amigos en los niveles extra de los minijuegos 






Los valores no son tan estratosfericos:

1 mes: 2.499 CLP     6 meses: 12:299 CLP   1 año: 22.749 CLP


Niños podrán divertirse, en este mundo virtual con mascotas, pinguinos, iglús y mucho más !









CONTROL PARENTAL

Club penguin posee un control para padres donde podrán sentirse mas cómodos por la seguridad de sus hijos regulando a su vez la experiencia final.



SEGURIDAD:

Cito:

Nos pondremos serios por un rato, porque creemos que la seguridad es muy importante. Nos esforzamos mucho por ser el mundo virtual más seguro de Internet: ofrecemos desde moderadores que trabajan en tiempo real hasta herramientas especiales para padres y un entorno sin anuncios publicitarios. 
Aquí van algunos consejos para que comparta con su hijo:
  1. Jamás debe divulgar sus datos personales online: nombre real, edad, lugar de residencia, teléfono y/o escuela.
  2. No debe compartir la contraseña con nadie más que sus padres, ya que otra persona podrá usarla y hacerse pasar por él/ella.
  3. Si alguien dice o hace algo que lo hace sentir incómodo, debe avisar a sus padres o adultos responsables de inmediato.
  4. Debe elegir un sobrenombre (nick) que no tenga que ver con su nombre real ni ubicación geográfica.


Para más información visitar el sitio oficial de Club Penguin

Leer artículo original: [+] Redes sociales para niños: Club Penguin

[5ta vez] Página de la JUNJI con links de Porno





De la SAGA: Hey Junji !
Presentamos por 5ta vez : Junji tienes links de Pornografía!

Dejándose de bromas, es 5ta vez que informo de presencia de links de pornografia en el sitio de la JUNJI CHILE, es procupante que esto se este repitiendo una y otra vez debido a que las soluciones que se están ejecutando son solo temporales borrando los links y no corrigiendo el origen del problema.

Timeline:

Primera denuncia:(octubre-2012) http://blog.xshinee.cl/2012/10/sitio-web-de-la-junji-con-enlaces-porno.html
Segunda denuncia:(diciembre 2012)  http://blog.secureless.org/noticias/chile-sitio-web-de-la-junji-elnazando-a-sitio-web-xxx/
Tercera denuncia: ( Enero-2013) http://blog.xshinee.cl/2013/01/nuevamente-links-de-pornografia-en.html
Cuarta denuncia: (abril-2013):  http://blog.xshinee.cl/2013/04/4ta-vez-pagina-de-la-junji-con-links.html

La imagen para esta 5ta Vez:

Leer artículo original: [5ta vez] Página de la JUNJI con links de Porno

Backdorizando páginas web con weevely en Kali

Weevely es un proyecto desarrollado por epinna que consiste en una aplicación creada en python para generar Backdoors en PHP, está disponible en distribuciones como Bactrack, Kali o BackBox.

weevely

weevely

Comandos de Weevely: ayuda

sudo weevely -h

Crear shell

sudo weevely generate password /home/rk521/Desktop/shell.php

password es la contraseña de nuestra shell y  /home/rk521/Desktop/shell.php es la ruta y nombre del backdoor.

Comando para listar los modulos:

:help

Leer artículo original: Backdorizando páginas web con weevely en Kali

Chrome permite a atacante tomar control de tu webcam y micrófono






Google Chrome es una de los navegadores mas utilizados en el mundo debido a su gran cantidad de extensiones lo que lo ha hecho muy popular. 


Esta vez una vulnerabilidad afecta a este navegador con un método llamado ClickJacking que se utiliza para engañar a usuarios mediante sus navegadores y secuestrar sus clicks.

Esta vez la vulnerabilidad afecta a Adobe Flash, aprovechando el Clickjacking, utilizan este método para engañarte y llevarte a hacer un click que jamás te diste cuenta que provocaría. 
El atacante crea una animación transparente, sobre una imagen y luego establece la típica ventana de dialogo que habilita los permisos para habilitar la webcam y micrófono.

Mediante esta técnica el atacante busca convencer indirectamente a la victima para que haga click sobre esta animación , pero al realizar el click lo que realmente esta haciendo es autorizando el inicio de webcam y micrófono  El atacante logra esto entonces mediante un falso botón para iniciar la animación y en ese mismo sitio establecer el botón para permitir iniciar el vídeo y audio de la posible victima.

Debido a esto es que el ataque funcionara o no, dependiendo como maneje las transparencias el navegador . En algunos de ellos las transparencias no funcionan bien y es posible visualizar la ventana de dialogo como se muestra en esta imagen:



Sin embargo en otros navegadores la transparencia si funciona y la víctima no puede visualizar la ventana emergente solicitando la autorización . Visualizando el código de la prueba de concepto del investigador ruso ,Egor Homakov’s  , se pueden ver la forma en que ocultan la ventana de dialogo.


Es importante que el usuario tome conciencia que al visitar sitios web no confiables podría resultar en que un tercero pueda espiar a la potencial víctima e incluso grabarla. Es por esto, que desde ESET Latinoamérica, recomiendan visitar el post sobre prevención en navegadores ante ataques de ClickJacking


 Tomar conciencia sobre la existencia de estos ataques es el comienzo para experimentar una forma más segura de utilizar Internet. Informarse y educar es la única forma.


Ahora no es tan ilógico cuando un amigo riéndose te dijo: “La mejor forma de darle seguridad a tu webcam es taparla”





Leer artículo original: Chrome permite a atacante tomar control de tu webcam y micrófono

Conoce mas de Metasploit con estos libros

El dia de hoy nuevamente retornando al trabajo nos venimos con esta entrada de libros la cual viene de la mano de la comunidad Xora de HackeaMesta el cual nos trajo estos libros asi que a leerlos y luego venimos con mas!

metasploit-logo
  • Taller Metasploit 2012
  • Metasploit Unleashed
  • Metasploit Toolkit for Penetration Testing Exploit Development and Vulnerability Research
  • Manual de Metasploit Unleashed de offensive-security offcial
  • Metasploit Framework – Introduccion – Offensive Security
  • Instalacion metasploit Post Exploitation Using MeterpreterApple TV
  • Generando script malicioso con Metasploit Framework
Descarga y acceso al material Comunidad Xora

Leer artículo original: Conoce mas de Metasploit con estos libros

Migrando Módulo Net::Twitter hacia API Twitter v1.1

Para quienes usamos Perl día a día para simplificar algunas tareas y automatizar un poco, es que va destinado esta entrada sobre el Modulo de Net::Twitter y su migración desde la API de Twitter v1 hacia la v1.1

Muchas veces usamos perl para programar bots que repitan mensajes aleatorios, o algo tan simple como twittear desde la linea de comando de forma rápida o hasta para monitorizar a distancia.

En fin muchos se habrán dado cuenta que sus codes asociados a la API de twitter a dejado de funcionar debido al cambio de API a la versión 1.1

Aquí dejo los pasos para migrar de forma exitosa y volver a tener rodando nuestros queridos codigos.


SYNOPSIS

use Net::Twitter

my $nt = Net::Twitter->new(
traits => [qw/API::RESTv1_1/],
consumer_key => $consumer_key,
consumer_secret => $consumer_secret,
access_token => $access_token,
access_token_secret => $access_token_secret,
);



DESCRIPCION

Net :: Twitter antes de la versión 4.0 utiliza la API de Twitter de la versión 1. Ahora el API de Twitter v1.1 introdujo cambios que no son completamente compatibles hacia atrás, lo que requiere algunos cambios en el código de llamada.

Net::Twitter intenta siempre que la compatibilidad con versiones anteriores sea posible. En este documento se explica los cambios necesarios que debemos aplicar en el codigo de la nuestra aplicación para que pueda funcionar el Modulo Net::Twitter con la API de twitter version 1.1.


LO PRIMERO


Incluir API::RESTv1_1

Cada vez que creamos objeto en Net::Twitter llamando un new , debemos reemplazar  API::REST y dejarlo como API::RESTv1_1  . Para la mayoria de las aplicaciones esto es todo lo necesario.

EXCEPCIONES


La característica  Ratelimit es incompatible con el API::RESTv1_1


La caracteristica Ratelimit es incompatible con el API::RESTv1_1 . Rate limiting es uno de los cambios mas grandes en la versión 1.1.  En la v1 habia dos tipos de rate limit, uno para direcciones IP para llamadas no autenticadas y otro para usuario/aplicación para llamadas autenticadas. En la versiones 1.1 cada llamada debe estar autenticada y cada endpoint de la API ( i.e: Cada metodo ) tiene su rate limit. Los nuevos rate limits operan en una ventana de 1 hora.


Si tu codigo actualmente utiliza RateLimit tendrás que escribir código personalizado proporcionar una funcionalidad equivalente.



rate_limits_status


El valor de retorno para rate_limits_status es totalmente diferente. Consulte la documentación de la API de Twitter rate_limit_status para más detalles.

blocking
blocking_ids
friends
followers

Con API v1.1, estos métodos utilizan  cursor. Si usted no pasa un parámetro cursor, Twitter asume cursor => -1>
EL código existente que espera un valor de retorno arrayref debe ser modificado para esperar uno hashref y eliminar la referencia del slot users.

# With API v1
my $r = $nt->friends;
my @friends = @$r;

# With API v1.1
my $r = $nt->friends;
my @friends = @{$r->{users}};

Search

El método de búsqueda y el valor de retorno son sustancialmente diferentes entre Twitter API v1 y v1.1. En v1, búsqueda fue proporcionada por la característica API::Search . En v1.1, search se incluye en la característica API::RESTv1_1.

En primer lugar, debemos eliminar API::Search de sus llamadas a new. La caracteristica API::Search es incompatible con la API::RESTv1_1.

En v1, Twitter ha devuelto un hashref con varias teclas que contienen los metadatos. El conjunto actual de resultados se encuentra en el slot results:


# With Twitter API v1
my $nt = Net::Twitter->new(traits => [qw/API::REST API::Search/]);

my $r = $nt->search('perl hacker');
for my $status ( @{$r->{results} ) {
# process each status...
}

Version 1.1 devuelve un hash con 2 slots: search_metadata and statuses


# With Twitter API v1.1
my $nt = Net::Twitter->new(traits => [qw/API::RESTv1_1/], %oauth_credentials);

my $r = $nt->searh('perl hacker');
for my $status ( @{$r->{statuses} ) {
# process each status...
}

Desplazamiento por los resultados de búsqueda funciona de forma diferente en v1.1. En v1, Twitter ofrece un parámetro page:

# With Twitter API v1
for ( my $page = 1; $page <= 10; ++$page ) {
my $r = $nt->search({ q => $query, page => $page, rpp => 100 });
last unless @{$r->{results}};

# process a page of results...
}


En la v1.1, se usa  max_id y count para obtener los resultados:


# With Twitter API v1.1
for ( my %args = ( q => $query, count => 100 ), my $n = 0; $n < 1000; ) {
my $r = $nt->search({ %$args });
last unless @{$r->{statuses}};

$args{max_id} = $r->{statuses}[-1]{id} - 1;
$n += @{$r->{statuses}};

# process a page of results...
}



METODOS DESAPOBRADOS

algunos metodos de la API v1 de Twitter no estan disponibles para la v1.1:
friends_timeline
usar home_timeline en cambio
friendship_exists
relationship_exists
follows
friendship_exists y sus alias no están soportados en API v1.1. Debes usar show_friendship en cambio:

my $r = $nt->show_relationship({
source_screen_name => $user_a,
target_screen_name => $user_b,
});
if ( $r->{relationship}{source}{following} ) {
# $user_a follows $user_b
}

//FIN

## Twitter for all 
## Fuente original

Leer artículo original: Migrando Módulo Net::Twitter hacia API Twitter v1.1