Hola he estado bastante ocupado y no habia tenido chance de publicar en el BLOG, pero ahora les traigo algo que me parecio interesante en estos dias... Primero que nada vamos con dos definiciones para dejar los puntos importantes claros! Homografo Que se escribe y se pronuncia exactamente igual que otra pero tiene distinto significado. Unicode Es un estandar de codificacion de caracteres diseñado para facilitar el tratamiento informatico, transmision y visualizacion de textos de multiples lenguajes y disciplinas tecnicas, ademas de textos clasicos de lenguas muertas. Muchas personas usaban estos caracteres unicode, recuerdo en la red de metroflog, para usar sus "caritas lindas" al escribir un mensaje. Aqui les dejo una tabla unicode con los caracteres mas populares: http://unicode-table.com/es/ (http://unicode-table.com/es/)
Ahora si a lo que vamos... (https://4.bp.blogspot.com/-NB609eM71UA/WAgoeUG4RtI/AAAAAAAACys/dW3yRDceSpsAM-L_elvL2OZhiimEBQ_cQCLcB/s320/homografo.jpg) (https://4.bp.blogspot.com/-NB609eM71UA/WAgoeUG4RtI/AAAAAAAACys/dW3yRDceSpsAM-L_elvL2OZhiimEBQ_cQCLcB/s1600/homografo.jpg)
No se si hayan escuchado el termino "phishing" que es cuando atraes al usuario a entrar a una URL donde esta montado un SCAM (pagina falsa) en la cual tus datos importantes son capturados. Bueno pues la mayoria de estos sitios son identificados por las URL's que manejan son poco "confiables" o simplemente por que son reportadas como tales (paginas phishing), veamos un ejemplo: www.faceboolk.com seria una url muy parecida a la de facebook exepto que tiene la "l" ahi... esto seria una buena URL para una pagina falsa... pero que pasa si los caracteres no son mas que parecidos visualmente (homografo)... Ejemplo: www.facebook.com si miras esa "f" es una F codificada en Unicode... Pero el dominio sigue siendo el mismo... o Parecido visualmente... Por lo cual la gente puede caer en unos de estos ataques rapidamente (Tambien podemos incluir un open redirect una vulnerabilidad comun hoy en dia). Les dejo dos paginas para que puedan realizar esto de una manera ilustrativa: http://www.irongeek.com/homoglyph-attack-generator.php (http://www.irongeek.com/homoglyph-attack-generator.php)
http://savanttools.com/unicode-to-ascii.asp (http://savanttools.com/unicode-to-ascii.asp)
Ahora el otro tipo de ataque que les comentaba era el cambio de contraseñas, por medio de este mismo ataque, hace poco escuche que hicieron un ataque parecido a github. Digamos este caso: Tenemos un correo que esta registrado en una pagina y se llama: [email protected] Entonces, nosotros al poner olvide mi contraseña es obvio que va enviar un codigo... al correo o al numero de telefono asociado a la cuenta. En caso de que la aplicacion este mal programada podemos hacer uso de un correo muy parecido visualmente (homografo), ejemplo: arthusu
@micorreo.com Cremos un dominio con micorreo.com, y es obvio que nos llegara un correo con el link para establecer una nueva contraseña. Eso es todo en esta entrada, no inclui imagenes, no inclui pruebas, pero les dejo la idea por si alguna vez llegasen a intentar el ataque, no creo que se necesiten pruebas pero por si las dudas...
Un ejemplo de este ataque: https://underc0de.org/foro/profile/%EF%BC%A1NTRAX/
Anteriormente habia un BUG donde podias Reemplazar al usuario de un foro Usando caracteres unicode, ahora ya no existe (eso no dice que pueda existir)...
Primero, es una alegría verte por aquí. No te desaparezcas! :P
Luego, sobre tu aporte: Estrategias simples para la gran herramienta: la ingeniería social. Tools, técnicas, pero cómo la "reina"; ninguna.
Un abrazo @arthusu (https://underc0de.org/foro/index.php?action=profile;u=2961).
Gabriela.
:O, entonces me estas diciendo que en paginas o foros, que te piden tu cuenta de correo para reestablecer tu contraseña, puedo poner un correo con unicode y me lo enviara a mi corre?, puede que tengas cierta verdad, pero supongo que cuando pasa esto, se usa el correo destino el que esta guardado en la base de datos, no el que fue insertado, ya que hace una comparacion.
Si no es asi corrigeme.
Saludos y muy buen post!
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
:O, entonces me estas diciendo que en paginas o foros, que te piden tu cuenta de correo para reestablecer tu contraseña, puedo poner un correo con unicode y me lo enviara a mi corre?, puede que tengas cierta verdad, pero supongo que cuando pasa esto, se usa el correo destino el que esta guardado en la base de datos, no el que fue insertado, ya que hace una comparacion.
Si no es asi corrigeme.
Saludos y muy buen post!
Si bro debe estar en la base de datos, pero no hace una comprobacion correcta en los caracteres por lo cual se envia el correo y puedes intentar crear un dominio igual o unicode, un chico reporto algo parecido en github:
https://bounty.github.com/researchers/jagracey.html
Otro ejemplo:
https://labs.spotify.com/2013/06/18/creative-usernames/
Saludos!
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Primero, es una alegría verte por aquí. No te desaparezcas! :P
Luego, sobre tu aporte: Estrategias simples para la gran herramienta: la ingeniería social. Tools, técnicas, pero cómo la "reina"; ninguna.
Un abrazo @arthusu (https://underc0de.org/foro/index.php?action=profile;u=2961).
Gabriela.
Gracias Gabi!, intentare pasarme mas seguido gracias :3
Muy buena información! No conocía esa vulnerabilidad para el envío de una nueva password. En SMF podríamos probarlo con esa cuenta de "ANTRAX ".
Saludos
Crees que usando un servidor de correo caseo como squirrelMail funcione efectivamente este ataque?
¡Hola, @arthusu (https://underc0de.org/foro/index.php?action=profile;u=2961)!
Muy buen aporte. La ingeniería social no tiene límites.
Me alegra verte por estos lados :P
Saludos.