blackarch

Hoy, el equipo de Security Hack Labs les tiene preparado este ejercicio sobre la vulnerabilidad conocida como "CSRF" (del inglés Cross-Site Request Forgery) o falsificación de petición en sitios cruzados. Es un tipo de vulnerabilidad en una aplicación que permite a un atacante enviar peticiones fraudulentas desde un sitio remoto con la finalidad de cambiar contraseñas, robar datos, entre otros.

En el último tutorial de hacking, hemos visto como obtener contraseñas de cualquier servidor SSH mediante fuerza bruta. Una de las aplicaciones vulnerables en Metasploitable 3 es ManageEngine Desktop Central 9.

En un artículo anterior hablamos sobre la enumeración de usuarios SSH en un servidor usando metasploit, ahora bien, lo siguiente es, ¿qué hacemos teniendo los nombres de usuario de un servidor? ¿cual es el siguiente paso para obtener acceso?

En este tutorial de hacking de reenvío de puertos (Port Forwarding) aprenderemos cómo reenviar puertos locales a los que no se puede acceder de forma remota. Es una práctica muy común y una buena práctica ejecutar servicios específicos en una máquina local y ponerlos a disposición de esa máquina local solo en lugar de la red completa.

En el mundo de la tecnología, a menudo hay un equilibrio entre comodidad y seguridad. La Invocación del método remoto de Java es un sistema en el que la compensación es demasiado real. La capacidad de un programa escrito en Java para comunicarse con otro programa de forma remota puede ampliar considerablemente la capacidad de uso de una aplicación, pero también puede abrir vulnerabilidades críticas que permiten que un atacante la comprometa.

La mayoría de las compañías tienen servicios como portales de inicio de sesión de empleados, subdominios solo internos y servidores de prueba que prefieren mantener privados. Los Red Teams y los hackers White Hat pueden encontrar estos servicios oscuros y, a menudo, vulnerables utilizando una herramienta diseñada para ayudar a proteger a los usuarios de certificados fraudulentos.