NASA Y GOBIERNO DE PERÚ ...BUG´S COCKTAIL---

De Juan Carlos García -
LA NASA , EL GOBIERNO DE PERÚ Y SU MEZCLA DE FALLITOS...

Tiene "webos" ... un poquito de todo para endulzar el día, y encima en el gobierno de Perú.... ( siempre me da por ser tremendista y no se por quÉ lo hago si la NASA lleva con un XSS persistente años , vende VIAGRA o ADOBE CS3.. será una Honey Pot? JAJAJAJA :P)

Antes de seguir, que la gente no se cree nada, y menos si dices cosas como :

"TÍO, HE HECHO ALGO EN LA NASA" .. Por línea general nadie que no esté en este mundo o no te conozca muy de cerca se va a reír ... o no se lo va a creer, porque entiendo que es VER para CREER no? ..... pues nada, NASA que te crió, para que veaís que no hacen NI PUTO CASO.. y es la "GRAN" NASA ...Ainsss .. y para que veaís que MAQUIAVELO también ha pasado por la NASA ... ( y eso que este no era el motivo de este Post ..)

Por lo tanto... ZAS !!! En toda la "NASA" !!!! :P ( León, Léon ainsssssssss)


                                                         PASANDO POR LA NASA ... POR ABURRIMIENTO Y TAL.. :P

Veís, ya os lo dije ... no seaís tan incrédulos .... es lo que hace tener "time" .. que te das un paseo por la NASA , le metes un poquito de JavaScript .. Y fuera

De todos es sabido que existen países donde los recursos son escasos para todo y por lo tanto no se pueden pedir peras al olmo en ciertas cosas y menos que se gasten millonadas en software de seguridad .. pero USA? USA? La NASA ? ... No opino porque me sale fuego por los ojos ...Luego dicen que si sería fácil desatar una Tercera Guerra Mundial ... No hace falta ir a por a SCADA para paralizar las Centrales Nucleares no ... 

Revientas la NASA, te proclaman enemigo y se ACABÓ .. Tercera Guerra Mundial o CiberWarfare 
(algo que ya se está haciendo como muchos de vosotros sabeís .. caso HBGary, Gobiernos Troyanizando, Duqu, Stuxnet ... en fin, nada nuevo para hackers y menos para LuzlSec o AntiSec de Anonymous .. )

Volviendo al tema ...

Esos países a los que me refiero como Colombia, Perú, Ecuador, Bolivia, Mexico, Chile etc etc etc no tienen efectivamente los mismos recursos que otros países para poder invertir en seguridad informática ... pero en la mayoría de los casos estamos hablando de "developers" que deben securizar el código .. que tengan WAF o no ( no tienen claro ..) ya es otro "cantar", pero lo que está claro que teniendo los problemas que tienen en otros aspectos económicos de su vida diaria ... va a instalar WAF en Perú RITA THE "SINGER"
(DIGO WAF por no hablar de IPS, IDS de coste similar a los que yo haya podido ver ..)

Pero, cuesta tanto hacer una programación segura? .. Definitivamente no !!! ... necesita de personas formadas y dedicadas a la securización del código que otros hacen .. o directamente, si quieren ahorrarse a un "picachu" .. coño, pues entonces contratar un 2x1 que os va a salir más barato ..

Pero bueno, al lío ... esta gente de Perú tiene:

SQLinjection.(SQLi)

Ejemplo de la explotación del SQLi del Gobierno de Perú ( La lista es amplísima..)
( Lo pongo por algún comentario que otro ... Updating)

 HUACCHA | URIARTE | moquegua_dr@mintra.gob.pe | JOAQUIN | NULL | ab9eb636d65c3ff78619a67a5c883d85 |
| VERASTEGUI | CONTRERAS | pasco_dr@mintra.gob.pe | ABEL JOEL | NULL | c73ce673d548461f06f7210eb94be7af |
| CAMACHO | BAIQUE | piura_dr@mintra.gob.pe | PEDRO NOLASCO | NULL | a92fe2dd3ad489f69d0338ee0da7e158 |
| CERVANTES | CRUZ | puno_dr@mintra.gob.pe | JESUS MANUEL | NULL | fe6cac8171f82d246696d3e7afcfbcb6 |
| DEL AGUILA | RODRIGUEZ | sanmartin_dr@mintra.gob.pe | AMILCAR | NULL | bc7b1f7db350daa2dbf3774926a7c1cf |

 ANCHAY                 | CARRASCO             | NULL                              | JORGE ARTURO            | NULL      | eee07c78a5fe05a9ac55e039a66f9bb8 |
| RODRIGUEZ              | BURGA                | NULL                              | LUIS                    | NULL      | fbc9d8eedee137d9139e2680db4258ac |
| huamani                | gallegos             | lgallegos@mintra.gob.pe           | luis enrique            | 988651906 | 33954026078cf8536f8e7f4406b8c84a |
| de la Cruz             | Mendoza              | consultaslaborales1@mintra.gob.pe | Wilfredo                | NULL      | 0930dbe50719d0cec4955c8c9115418f |
| Rodriguez              | Rojas                | CONSULTASLABORALES2@MINTRA.GOB.PE | Francisco               | -         | 4f7d533ca84b78b26605b7b0ca72b093 |
| Guardia                | Guevara              | jguevara@mintra.gob.pe            | Jorge                   | 988557744 | ce5c9c830dd6cd20e9ceaf8e4fdf5efc |
| PANAIFO                | VARA                 | lvara@mintra.gob.pe               | LIZEL                   | NULL      | 27e78e2458720dfd7390ff8a966e1bb7 |
| HUAMANI                | GALLEGOS             | LUIS.ENRIQUE.GALLEGOS@GMAIL.COM   | LUIS                    | NULL      | 33954026078cf8536f8e7f4406b8c84a |
.
.
.
.
.
( No seaís Trolls ...)

LocalFileInclusion (LFI)

CrosSiteScripting (XSS)

Shell Injection     (SHi)

IntegerOverflow y BufferOverflow 

( Me he parado por aburrimiento ... es contínua esta palabra eh? Pero es que seguro que van a surgir fallos "MÁS DE LO MISMO" ... y como que esto no va dirigido a hacker, si no a Newbies, Os recuerdov ..) ( Bueno, esto último dejarme que me ría, la verdad ...)


                                                                      WEB DEL GOBIERNO DE PERÚ


BUENO, PUES VAMOS ALLÁ .... ZAS !!! MAQUIAVELO DE "VIAJE" POR PERÚ ...


                                                        DEJANDO MENSAJITO  Y AVISANDO DEL XSS .... :P




Quiero dejar claro que se ha avisado al Gobierno de Perú de todos los fallos existentes en el aplicativo Web ... Os han respondido? ... Pues a mi lo mismo ..

Bien, que hacer ante esta situación de "Omisión" del Estado Peruano? ...

Pues nada, simplemente lo que estoy haciendo .. Exponerlo públicamente y fuera ... No hay más Historia ... Para que nos vamos a andar con tontadas? ..

Bueno si quereís investigar fallos  ... pues ya sabeís lo que teneís que hacer, aunque espero que lo "chapen" pronto ... ya os digo que lo dudo ... Según funcionan los MINISTERIOS a nivel MUNDIAL .. es de risa esperar que cierren estos fallos de código ...


Bueno continuamos .... En esta página nos enlazan con la página oficial de lo que sería el INEM en España ... algo llamado Trabaja Perú .. Por predicción (Ataques Por Predicción) también tiene estos fallos, pero el movimiento se demuestra andando ... Vamos a "trabajar " a Perú :P


                   
                                                                         EL "INEM" PERUANO ..


Pues venga, rapidito, que una vez descubierta las cosas y que se reputan tanto, sinceramente me aburre ... lo hago para daros una guía de How to? e ir captando las cosas ... la intuición te ahorrará tiempo en miles de herramientas que solo dan vuelta a lo mismo ...

Veamos la base de datos ...

                                              BUENO YA TENEÍS EL SQLi .. Pero, no veís algo más a la vez ?


Bueno, si no has visto que existe otro XSS de libro en la opción "Buscar" .. No te preocupes, ya lo verás ... esto de todas formas no es usual ( o no lo es tanto) que sean 2x1 de un solo "vistazo" .. Por lo tanto, Don´t worry Baby...


Os dejo una imagen ( No voy a explotarlo, No time .. y me aburre un poquito ... Me entendeís no?)




                                                                     ACUNETIX IS WORKING ....


Bueno pues nada, os dejo que me va entrando "gusa" ...
Por lo tanto, majetes, la NASA ya está hackeada HACE mucho ... je !! y tanto ... hace mucho que me daba "pirulos" po restos sitios cuando aprendía, por lo tanto aquí teneís un buen "emjambre" donde aprender ...

 Teneís MUCHOS subdominios NASA donde poder apuntar
(Recuerda, todo hacker ha "tocado" la NASA, aunque sea pasando un NMAP ... ten WEBS, no pasa nada ... entendemos que el hacking tiene una parte de "COJONES" QUE NO PUEDE ser enseñada ni aprendida, pero te aseguro que no va a pasarte nada por SCANEAR lo que miles de hackers en el mundo están haciendo ahora mismo.. Por lo tanto, échale "un par" y dale, reconoce servicios, puertos, INVESTIGA, Pero HAZLO .)


...y recordar, si el GOBIERNO DE PERÚ TIENE LOS FALLOS NOMBRADOS y hemos comprobado DOS en el "INEM" DE Perú? .. No piensas que los otros fallos que quedan por verificar también existen en este "INEM"? ( Shell Injection, Buffer Overflow, LocalFileInclusion ...)

Yo como comprenderás lo tengo "mamadito" .. respóndete tu estas preguntas antes que les de por "fixear" los Bugs ..... aunque para cuando lo hagan, hemos salido de la crisis .. FIJO !! :p

Buen Hacking ..

                                               MAQUIAVELO

                                                  ¿El fin justifica los medios?

Entradas populares de este blog

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

De Juan Carlos García -
Cómo: Proteger ASP.NET de inyecciones SQL Publicado: 21 de Diciembre de 2005 Post:eado:19 de  MARZO 2012 Motivo:   Aumento de Hacking en Aplicaciones Web de manera Brutal desde el 2005 y aumentando Este artículo se aplica a y a como securizar para evitar ser hackeado, si, o si !!! ASP.NET versión 1.1 ASP.NET versión 2.0 y para lo que habeís hecho desde el 2005, estudiarlo bien majetes porque seguís sin securizar el puto código de la parte servidor ... !!! Por dios, ya está bien de poner a los usuarios y trabajadores en peligro .. !! Es tan difícil poner un poquito de atención. Resumen: En este artículo se describen una serie de métodos que ayudan a proteger la aplicación ASP.NET de inyecciones SQL. Entre las distintas técnicas se incluyen la restricción de entradas, el uso de parámetros SQL con tipos seguros para el acceso a datos y el uso de una cuenta con menos privilegios que tenga permisos restringidos en la base de datos. La inyección SQL puede producirse cuando una apl
Leer más

CERTIFICACIONES DE SEGURIDAD

De Juan Carlos García -
Imagen
CERTIFICACIONES DE SEGURIDAD For Fun and Profit Nuevo curso, toca mirar todo lo que tenemos y más … Eso si, caro caro caro(..) Seguridad General—Nivel Basico Brainbench Basic Security Certifications : Ofrece varias certificaciones, un examen por certificación ·          Brainbench Firewall Administration Concepts ·          Brainbench Internet Security ·          Information Technology Security Fundamentals ·          ITAA Information Security Awareness ·          Brainbench Microsoft Security ·          Brainbench Network Authentication ·          Brainbench Network Security ·          Security Industry Knowledge (U.S.) Fuente: Brainbench CDRE -- Certified Disaster Recovery Engineer Conocimientos básicos de recuperación de desastres (DR) y continuidad de negocio (BC) metodologías de planificación. A CDRE reconoce los riesgos y vulnerabilidades de la vida real a una infraestructura de TI, sabe cómo proteger los activos contra las a
Leer más

HACKING MADRID_"EASY" XSS and Cross Site Tracing XST

De Juan Carlos García -
Imagen
XSS-XST COMENZANDO DESDE 0 Y..Cross Site Tracing !!!  A MI ABUELA ... DESCANSE EN PAZ .. El primer ordenador lo recibí en tu casa con 11 años, en reyes, te acuerdas ?  .. Yo jamás olvidaré nada de nada !!! GRACIAS !!!  Al referirnos al Cross-Site-Scripting podemos encontrar bastante material didáctico acerca del tema, algunos de ellos describen los modos de ataques como directos e indirectos, pero realmente creo que podemos simplificar y enfocar de una forma mas directa en dos simples componentes que son: 1. Ataque al usuario. 2. Ataque a la aplicación   Por otro lado tendríamos "persistentes" y "No persistentes" .. es decir, entre wikipedia y OWASP , madre mía la de toería que teneís .. pero lo que quiero directamente es que comenceís a buscar objetivos y a "practicar" "éticamente" . Bien, si no sabes HTML ni JavaScript directamente ya sabes lo que tienes que hacer para poder realizar estos ataques tan singulares que e
Leer más