Fingerprinting on Karpoke - Just Another Blog

De usuarios en WordPress

Thu, 02 Aug 2012 13:45:00 +0100

Uno de los peores hábitos, en cuanto a seguridad en informática se refiere, es utilizar la cuenta de administrador de forma compulsiva para todo, sin importar que la tarea que estemos haciendo requiera privilegios de administrador o no. Esto se puede aplicar tanto a la cuenta de root en un sistema GNU/Linux como al usuario administrador en WordPress. Lo ideal sería utilizar una cuenta con el mínimo nivel de privilegios posible que nos permita llevar a cabo nuestra tarea.

Identificar el tipo de hash

Tue, 15 May 2012 01:29:00 +0100

El script Hash_ID.py, desarrollado por Zion3R, nos permite identificar los posibles algoritmos utilizados para crear un hash. En muchas ocasiones no se puede saber qué algoritmo concreto se ha utilizado, pero nos devolverá una lista de candidatos.

El script compara el hash con el tipo de hash de algoritmos tales como: ADLER-32, CRC-32, CRC-16, DES(Unix), FCS-16, GHash-32-5, GOST R 34.11-94, Haval-160, Haval-192 110080, Haval-224 114080, Haval-256, Lineage II C4, Domain Cached Credentials, XOR-32, MD5(Half), MD5(Middle), MySQL, MD5(phpBB3), MD5(Unix), MD5(Wordpress), MD5(APR), MD2, MD4, MD5, MD5(HMAC(Wordpress)), NTLM, RAdmin v2.x, RipeMD-128, SNEFRU-128, Tiger-128, MySQL5 - SHA-1(SHA-1($pass)), MySQL 160bit - SHA-1(SHA-1($pass)), RipeMD-160, SHA-1, SHA-1(MaNGOS), Tiger-160, Tiger-192, md5($pass.$salt) - Joomla, SHA-1(Django), SHA-224, RipeMD-256, SNEFRU-256, md5($pass.$salt) - Joomla, SAM - (LM_hash:NT_hash), SHA-256(Django), RipeMD-320, SHA-384, SHA-256, SHA-384(Django), SHA-512, Whirlpool, etc.

Abusando del código de estado HTTP

Tue, 22 Feb 2011 17:02:00 +0100

function logged_in(id, txt) {
 document.getElementById(id).innerHTML = txt;
}

En el artículo original, de [Mark Cardwell][], se muestra como podemos
saber si un visitante de nuestra página está conectado a diferentes
servicios, como GMail, Facebook, Twitter, etc, aprovechando las
diferencias de comportamiento que muestran estos servicios al acceder a
enlaces concretos si el usuario está conectado o no.


GMail
-----

Conectado a GMail? __**...**__

Para comprobar si el visitante está conectado a GMail se intenta cargar
una imagen de la siguiente manera:

El src de la imagen hace referencia a la imagen del perfil de Mark, si no hemos iniciado sesión en GMail, la dirección del src no devolverá una imagen, sino que redireccionará a una página HTML. Con los atributos onload y onerror podremos distinguir si la imagen ha cargado o no, por lo que podremos saber si el usuario ha iniciado sesión o no. Esto parece que funciona en Firefox, Chrome, Opera, Safari y varias versiones de Internet Explorer.