Hoy, Jueves 16 de Octubre, di una charla sobre LFI aplicando _NullByte_Poisoning_ en la cual, bajo mi nick "backtracker" expuse brevemente el como vulnerar una web con proteccion de inclusion de archivos locales por extension. Este es el caso de una web elegida al azar entre las vulnerables, cuya proteccion es no permitir incluir archivos en una variable, que no sean de las extensiones permitidas, parseando su extension. Pero gracias a estos dos tipos de vulnerabilidades se puede lograr este Information Disclosure. Expuse esta charla en nuestro Servidor y Canal OFICIAL de iRC

He registrado el canal Oficial de iRC de SecurityNation.com, el cual nos ayudará a mantener la comunicacion para diversos fines tales como actualizacion, recomendaciones, tambien vamos a evaluar posibles colaboradores y estamos a la espera de ejemplos de pruebas para un segundo torneo, quien envie una posible prueba (OJO... Que no sea ninguna de las anteriores) y esta sea elegida pues ira ganando nuestra confianza y para comenzar le daremos VOZ en el canal, eso significa que no sera un usuario cualquiera y tendra mas llegada a los admins. Para conectarse al canal, se deben conectar al servidor

El nuevo miembro (aunque ya esta tiempo) de nuestro equipo, ha desarrollado una herramienta privada en JAVA para "Aquellos que terminaron el Torneo". Esta herramienta resuelve no solo la prueba de Password Shifting de nuestro torneo, sino que es configurable para cualquier tipo de cadena de caracteres y longitud de usuario/password. Lo unico que deben hacer quienes tengan el privilegio, pues es enviarle un correo solicitando la verificacion de su nick y enviarle su password encriptado en md5 para comprobar su identidad, cabe destacar que deben enviar ese e-mail desde la cuenta de correo con la que se registraron al torneo.

Pues a terminar el reto quienes no lo han hecho aun y pues a enviar el correo quienes lo hayan culminado y esten interesados en la herramienta. El correo de Andres es aperezalbela[at]securitynation.com

Experto en Seguridad Informatica, se ha desempeñado en el medio por mucho tiempo y ahora es parte del equipo de desarrollo e investigacion de security nation, esto es una noticia rara ya que desde 2003 security nation no habia aceptado a gente sin embargo el entusiasmo y los precedentes de este nuevo personaje nos han motivado a que participe activamente aqui.

De igual forma el ha creado una herramienta para pasar el reto de password shifting que tenemos en el torneo, bastante practica, mas adelante les pondre la imagen del programa, saludos a todos y una cordial bienvenida al nuevo miembro del laboratorio!.

Hace mucho que no actualizaba la pagina, ahora en febrero cumplimos 11 años de estar en linea, pienso sacar una compilacion en DVD de todas las herramientas organizadas que he juntado a lo largo de 11 años un toolkit privado que me ha sido util en todo momento, cada herramienta esta revisada, y pronto, muy pronto Security Nation tendra otro cumpleaños!.

El dia de hoy recibi la notificacion de que mi biografia sera publicada en la edicion especial de este libro, es un orgullo muy importante para mi carrera, les agradezco a todos por su apoyo y todo en estos tan cortos 10 años, que han ido recibiendo su merito.


Dear Luis Alberto Cortes Zavala.

Congratulations! because of the reference value of your outstanding achivievements, the editors of Marquis Who\'s Who have selected your biographical profile for inclusion in the special 10th anniversary edition of \"Who\'s Who in Science and Engineering. This unique compilation will chronicle the lives and careers of the world\'s most accomplished scientists and engineers.

Se encontro un Fallo SQL en el Help Desk de Minisistemas, el cual ya fue reportado y esta siendo parchado.

La zona privada trabaja al 75% de nuevo.

El evento Hackmex pronto sera una realidad.

Una de las secciones del sitio no dejeba bajar archivos, ya fue reparado.


Saludos a todos!

April 10th, 2007

Luis A. Cortes Zavala

Red Integral de Soluciones y Sistemas
Mesa Directiva, Security Consultant
luis.cortes@riss.com.mx
napa@securitynation.com


Dear Luis.

Thank you for your recent efforts in responsibly disclosing and working with Microsoft to investigate security issues within Microsoft Hotmail. Microsoft places a high value on the relationships formed with security professionals and customers while working to investigate and resolve reported security issues.

In particular during the MSRC investigation of case 5937 we thank you for.

• Variant Vulnerability submissions
• Maintaining accurate, clear, communications;
• Providing technical information that was detailed and accurate; allowing Microsoft to quickly pinpoint and investigate the issue;
• Following responsible disclosure practices during the investigation.

Microsoft recognizes and appreciates the commitment you have made to help us secure our products for our customers. The security of our products and services, and partnership with security researchers is a top priority of the Microsoft Security Response Center.

Thank you for being of assistance; it is a pleasure working with you.

Sincerely,

Scott Deacon
Lead Security Program Manager, Microsoft Security Response Center
Microsoft Corporation

El dia de hoy por puro error hackee hotmail mientras andaba buscando chicas en poca ropa, asi que bueno esta nueva vulnerabilidad no sera publicada en algun tiempo en lo que se trabaja en ella.

Aun esta en desarrollo y no es reliable, a veces jala, y a veces no.

Ya ven que pasa por andar viendo cosas para adultos?

Otra ves sirven todas las funciones privadas, excepto una en la que aun estoy trabajando, espero que quede pronto, y sea de mucha ayuda para todos.

Saludos

Actualice el sitio, tiene nueva imagen, algunas nuevas herramientas fueron publicadas, y espero que tenga una forma de navegación mas optima.Además festejamos el cumpleaños numero 10 de tener la pagina en línea recordando las viejas URL de acceso. (1997-2007) Oficialmente el 22 de febrero de 1997 iniciamos actividades en la red con la primer dirección.

http.//www.topos.tsx.org 1997
http.//www.darktopos.cjb.net 1997-1998
http.//www.darktopos.searchking.com 1997-1998
http.//www.hackersoft.cjb.net 1998-1999
http.//www.hackersoft.net 1999-2003
http.//www.freewebs.com/hackersoft/ 2003
http.//www.securitynation.com 2003-2007

Para ver las paginas pasadas. http.//web.archive.org
Tambien depure el código y quedo mas chico, aun así que espero que les guste.