JScape: Guía interactiva de XSS

Siempre es posible ver un tema desde varias puntos de vista. La seguridad infórmatica es una forma de nombrar al hacking, pero para mi es imposible no verlo como una suerte de deporte. Aunque pasaron muchos años antes de que descubriera el mundo de las wargames y CTF’s siempre existio esta sensación de competencia. Guías como las de Ricardo Narvaja donde se proponian retos de forma continua y los archivos de defaces que daban puntos e insignias generaban un ambiente muy activo. Ahora que ha pasado el tiempo he tratado de encontrar un punto intermedio entre estas competencias y un enfoque educativo. Hace un par de días descubrí un par de retos interesantes llamadas alert(1) y prompt(1) donde se debe hacer precisamente eso, ejecutar un alert y un prompt. Además coincidio que me encontraba realizando el tutorial de jQuery. Así fue como se me ocurrió la idea tan terriblemente sencilla: Hacer una guía paso a paso e interactiva de retos con la explicación como un dato opcional para mantener el estilo CTF. El único objetivo es generar un alert en Javascript.

Por el momento no es un proyecto terminado. El repositorio se encuentra en GitHub por lo que cualquier persona puede crear un fork y añadir retos a su gusto. Me parece un primer paso muy satisfactorio a mis planes de generar material para explicar distintos temas y el método parece funcional para abarcar mas ramas a futuro.

Bienvenido al mundo real

Como cada fin año la gente se propone nuevas meta a realizar y comienza a hacer su lista de propositos. Para algunos es el bajar de peso, aprender un nuevo idioma, salir de viaje, hacer algo que quedo pendiente este año. Para mi este año me ha abierto mucho las expectativas para el siguiente. Hoy en mi lista se encuentran algunos proyectos muy ambiciosos y me han empezado a generar movimientos en mi vida que no tenía contemplados para nada. Sin embargo estas fechas también son para reflexiónar, para plantearnos nuestra situación actual y como es que hemos llegado a ella. No es que pretenda hacer una crónica de este año en mi vida ni juzgar aquello que definitivamente no conozco pero me parece importante resumir mis pensamientos antes de avanzar y curiosamente todo esto ha ocurrido cerca de fin de año. Incluso me dan ganas de comenzar preguntando ¿coincidencia o destino?

TL;TR El problema está en que nadie parece tomar en cuenta dos factores (que pueden contarse como tres): Estamos en México (y para este caso estamos en Latinoamérica, que la situación es igual al sur de este país), los que tienen noción de la situación se aprovechan de aquellos que la desconocen, y los que no son abusivos no dan mucho tiempo a los demás por que la vida y el trabajo no lo permite: Bienvenido al mundo real

Seguir leyendo

Pequeño giro editorial

Después de una entretenida platica en esta semana alguien me ha ayudado a clarificar algunas ideas. No eliminare las respuestas que están publicadas en mi blog (que no son mas de 5), sin embargo aquella idea de ir liberando soluciones a Wargames va a tener un cambio. La persona con la que hable es admin de uno de estos juegos y aparte de hablar sobre las implicaciones que tendría en su pagina, me ha hecho ver que existen algunas otras alternativas como los CTF’s, ya que existen repositorios con retos que han terminado y cuyas soluciones ya se encuentran en la red. Lo único que haré es ir reviviendo algunos y explicándolos dentro de este blog. Ademas he echado a andar algunos otros proyectos que también son buenos y tengo que escribir material educativo sobre las diversas áreas. Sin mas, ese es el pequeño giro editorial de mi blog.

Solucionarios: TT0 – Reverse Me

La fuerza bruta no es tu mejor amiga cuando puedes observar la forma en la que trabaja el algoritmo. Quisiera decir que esa es una frase de mi abuelita (seria una anécdota increíble), pero lo cierto es que mi abuelita no tiene ni idea de lo que significa la frase, aun así, la frase no deja de ser cierta. Los ataques de fuerza bruta, como su nombre lo indica, son ataques que utilizamos como ultimo recurso, cuando somos tan brutos que no sabes que hacer mas que intentar todas las claves que podamos a diestra y siniestra, sin embargo en algunas ocasiones la mala implementación nos permite observar un algoritmo y determinar la forma en la que se comporta, por lo que podemos deducir rápidamente la clave secreta. Asi iniciamos este reto:001_Firefox Developer Edition

 

Seguir leyendo

Solucionarios: TT0 – Lets Fuck Your Brain

Este reto es uno de los mas divertidos para mi. Aquí la resolución del problema es directa sin mayor problema, pero me ha llevado a conocer un nuevo lenguaje de programación y al concepto de “lenguaje de programación esotérico”. Después de este reto la cantidad de información que desconozco se volvió gigantesco, pues existen cientos de formas de resolver un problema y solo conocemos las mas triviales. Pensar fuera de la caja muchas veces nos hace llegar a lenguajes como este. Seguir leyendo

Solucionarios: TT0 – 1337Browser

Dentro de los juegos el segundo en orden (pero 24 en nivel) es el 1337Browser. Para pasarlo debemos encontrar la clave secreta. La primera pantalla que nos encontramos es la pagina web de un navegador de internet. Si deseamos descargarlo debemos introducir el codigo que compramos con un numero de telefono. Por supuesto nosotros no vamos a pagar por un nuevo programa de Internet que nos podemos descargar (gratuitamente) para realizar una atualizacion del que ya tenemos.

Seguir leyendo

Solucionarios: TT0 – Premission

Estos ultimos dias han pasado algunas cosas en mi vida. Como no me gusta hablar de mi vida privada hablemos de lo tecnico; ahora mi laptop funciona con Linux, gentoo para ser mas exacto, y como mi teclado esta en ingles no utilizare los signos de puntuacion de forma correcta, pero quien se fija en eso ahora? La instalacion de Gentoo que tengo tardo mucho tiempo en funcionar poque inicie desde un Stage 1 (el cual oficialmente ya no existe) por lo que configurarlo y hacerlo funcional tardo mas tiempo del que puede ser necesario. Sin embargo regrese y tal como habia prometido resolvere algunos Wargames para incentivar a la gente que se dedica a hacer estos juegos a que se reinvente y a quienes los juegan o quienes estan iniciando a que entiendan algunos de los problemas y tecnicas utilizadas. Asi que iniciemos.

El primer juego que llego a mi vida fue el TryThis0ne.com al cual le tengo un gran afecto ya que alguno de sus juegos son muy tecnicos, faciles pero muy tecnicos, y eso me permitio conocer este mundo desde otra perspectiva que no he podido encontrar en ningun otro sitio. Cuando te registras por primera vez encuentras un reto llama PreMission y como su nombre lo indica es una mision que te permite acceder a los demas juegos. La idea es muy simple: tienes un texto cifrado y la idea es resolver el problema. Cualquiera que entre al sitio puede ver el texto original asi que emprezaremos con el analisis:

WP_20151108_001

Seguir leyendo