Este documento resume varios hackeos memorables realizados por hackers éticos, incluyendo vulnerabilidades encontradas en sitios web del gobierno español, medios de comunicación como El País y sitios de redes sociales como WhatsApp y Foursquare. Explica cómo los hackers accedieron a sistemas a través de vulnerabilidades como inyecciones SQL, directorios transversales y falsificación de ubicaciones GPS. El objetivo era educar sobre la seguridad mediante la demostración de fallas para que puedan ser corregidas.

1. Hackeos memorables Yago Jesús Molina (@yjesus) Lorenzo Martínez (@lawwait)

2. Presentación $ whoisSecurityByDefault Domain name: www.securitybydefault.com Record expires on:??-??-?? Record created on:12-05-2008 Administrative Contact: contacto@securitybydefault.com Twitter: @secbydefault

3. HerramientasSbD Unhide amISpammer Patriot-NG VHoster http://www.securitybydefault.com/p/herramientas-sbd.html TweetMe! Phpot Brute12/UNX PastebinMonitor

4. ¿Porqué?

5. Motivaciones Fama en la comunidad hacker - humor Rivalidades entre grupos Por encargo Distribuir/Alojar Malware White hat / Research / Justforfun Dedicados – amorosos

6. Te puede pasar a tí

7. #concepto <script> alert (document.cookie) </script> Cami-Site Scripting

8. CIA

9. Moncloa

10. Web de la Presidencia Europea

11. PSOE

12. mviv.es

13. PP Valencia

14. Belén Esteban

15. Club Sálvame Telecinco

16. Yahoo

17. Greenpeace CENSORED

18. SETI CENSORED

19. NYTimes

20. Revista Time Worlds’smostinfluentialperson

21. FOX

22. SONY MUSIC

23. Sans.org

24. INTECO & Confianza Online

25. Rootshell.com

26. DefensiveThinking WTF?

27. Gara.NET

29. Gara

30. Gara

33. Vulnerabilidad de directorio transversal “../” + encoding

34. Usuarios sin autenticar pueden acceder a cualquier fichero del sistema con permisos de IUSR_server

36. ARSYS.ES

38. How-To: Arsys.es Hosting clientesimportantes Abril/Mayo 2007 SQLi-> Base de Datos de clientes Accesoárea de clientes FTP Iframe -> Javascript -> Trojan (Mpack Toolkit) Mailing masivo: “Cambiesucontraseña” Automatizancambios de password Solución: CAPTCHA

39. Erroresmemorables: Arsys.es SQLi: desarrolloseguro, auditoría, WAF? Contraseñas sin cifrar Modificación sin autorización de clientes Silencio y desinformación

40. Whatsapp

42. Disponible en casi cualquier plataforma (Android, IOS, Symbian)

43. Ampliamente difundido en EspañaEsalgo personal!!!

44. Las deficiencias de Whatsapp

45. Registro en WhatsApp Verificación por auto-envío de sms

46. Formas alternativas ...

47. Registro de cualquier número en WhatsApp +44 7900 347295

48. TV inteligente lg

49. ¿Tanto ha cambiado la TV?

50. Aplicaciones desde la TV

51. MiTM

52. Pruebas de red nmap -v -sT -sV -A -O -p1-65535 -P0 192.168.52.50 perl nikto.pl -host http://192.168.52.50: 33255 -C all hping-p 33255 --flood -a 192.168.52.254 -S 192.168.52.50

53. DoS

54. Foursquare

56. Se pueden ganar valiosos premios como 'badges' e incluso ser el 'mayor' de un lugar

58. Así ve un Gurú FourSquare Hago check in ...

59. Así ve un Gurú FourSquare ¡¡¡ Magia !!!

60. Así ve un Gurú FourSquare I Just Became the Mayor of 'Mi propia casa'

61. ¿Magia? POST /v1/checkin HTTP/1.1 Host: api.foursquare.com User-Agent: Mozilla/5.0 (iPhone; U; CPU like Mac OS X; en) AppleWebKit/420+ (KHTML, likeGecko) Version/3.0 Mobile/1C10 Safari/419.3 Content-Type: application/x-www-form-urlencoded Authorization: Basic NjIyMzQ1NjcyL2Z1bGFub0BnbWFpbC5jb206MTIzNDU2 Content-length: 69 vid=433&private=0&geolat=-2000.00002101432&geolong=455.000046058153

62. La víctima

64. Un poquito de 'magia' ...

65. Preguntas