este, haber diganme si no estoy loco, pero que pasaria si un web master se diseña una pagina con un formulario en php, que no encripte los datos del usuario, y se actualize una tabla de un registro que luego pueda ser consultada.
mmm, podria ser que con ingenieria social, hagas que a quien quieres robarle la cuenta, le pidas que se registre y si por suerte pone la misma clave de su msn, puedas acceder a su cuenta?????
creo que asi le hacen con el fishing, hacen una pagina falsa, con formularios que no se encriptan, y le dan la informacion al creador de la pagina.
mmm pues no se si se pueda pero pues, con lo poco k se kreo k si, eso podria ser posible.
NOTHING IS IMPOSSIBLE
(nada es imposible)
esta claro que hay un monton de gente que hace eso, me parece que esa gente debe estar encerrada, por que si le pones la contraseña de tu cuante de paypal que ?
Incluso se puede hacer con las contraseñas encriptadas en algunos CMS.
Pero weno la mayoria de webmasters tienen cierto criterio de etica, si la pagina te costo trabajo no la usas para esos fines.
no todos logicamente se van a ir por cuestiones eticas, eso esta mas que claro, por eso da miedo meterse a paginas web, sobre todo las que son mas avanzadas que solo usar el phpnuke, mambo, o de ese estilo por que creo que esas tienen mas seguridad, hasta cierto punto claro.
Creo que alo que te refieres es alos exploids o algo asi, yo una vez utilize uno y si se puede, no lo creo yo , hay muchas paginas, que lo que hacen es mandar un correo que supuestamente es una postal, de gusanito, u otras paginas de postales, lo que lleva ese e-mail es un enlace supuestamente para ver la postal y cuando le das clic te sale una pagina de inicio de cesion de hotmail , como si por error te ubieras salido, entonces tu buelbes a escribir tu pass supuestamente para volver a iniciar sesion y lugo de dalre enter te sale la supuesta postal, pero lo que realmente paso es que la pagina donde pusiste el pass esra una copia casi identica de hotmail, que cuando escribes tu pass y le das enter, manda el pass al correo de quien quiesa saber tu pass....
espero que me hayan entendido .
una pagina donde pueden encontrar algunos es esta
http://thedanye.tk/ "frederick", no es precisamente de "exploits" lo que se discute en este tópic, pero está relacionado...
En cuanto al tema este... mmm, lo he hecho una ó dos veces a pedido de algunas personas; no es la gran cosa ni es muy dificil de hacer...
También he hecho formularios indenticos a los de hotmail, pero la verdad que no me da la gran alegría cuando consigo un password de esa manera... pero ta'
Saludos 
frederick eso que tu dices no es un exploit, un exploit es pues usar una vulnerabilidad de algún programa o página web, como por ejemplo los desbordamientos de buffer, la injeccion SQL o los desastrosos ataques de denegación de servicio. Eso de enviar postales podría llamarse solo "ingeniería social", porque realmente no usa ninguna tecnología ni medianamente avanzada para obtener claves, se basa simplemente, seamos honestos, en la estupidez del que recibe el mensaje.
Y dicho sea de paso, hackear paswords de correo, más aún passwords de hotmail, más aun usando este método, es considerado entre los hackers como la forma mas baja de ser LAMER, o sea un completo don nadie.
Y sobre el tema principal, a veces uso un método muy sencillo que posiblemente me arriesgo aquí contandolo, que es el de usar como clave el nombre de la página donde estás identificandote.
Ejemplo: Entras a gmail? pon como clave gmail.com
entras a yahoo? puedes poner como clave yahoo.com
De esta forma te aseguras que tendrás una clave distinta para cada dirección web, y además no te costara nada memorizarla.
Ahora no es que vayan por ahí intentando conseguir claves de esta manera, pues aunque sea un método bastante confiable, siempre hay que añadir alguna cosita propia a la clave, por ejemplo la fecha de nacimiento, un número que nos guste mucho, nuestro nombre, etc, o sea no dejarlo simplemente en la dirección de la página, y eso es lo que yo hago 
Entienden? Si tienes acceso a la base de datos donde se almacena la informacion de los contenidos, entre ellos ususarios, de un CMS se puede conseguir la clave.
En la DB cambias el mail y luego le dices que te envie la clave con lo que llega a tu correo y no a la del usuario. Luego pones la cuenta de correo que tenia el usuario y es transparente.
Luego lo otro es ingenieria social.
Mucha gente usa la misma clave para todo, msn, correo, usuarios de cms, cuenta bancaria...
Pues eso... 
Donde sea encontraras a algun lamer asi como te encuentras a un spamer 
yo no he usado la ingenieria social pero si he usado herramientas para hackeo como son los keylogers y el bitfrost sirven bastante si se sabe utilisar adecuadamente Los keyloggers no son considerados herramientas de hackeo, sino me equivoco el bitfrost tampoco(si te refieres al troyano) el uso de estas herramientas para obtener passwords es tambien considerado ser lammer.
Seria muy facil... incluso encriptadas hay demasiadas herramientas como el Cain (Cain & Abel, por oxid) u otras como John the Ripper que sirven para hacerse cargo de las encriptaciones.
Aparte esta eso que dijeron antes de cambiar el correo, cosa que seria mas rapida ya que no hay necesidad de mas.
Y aunque no seas el webmaster se puede conseguir la contraseña con fuerza bruta... o tambien algunos exploits, aunque para correr la mayoria de los exploits necesitarias linux, porque los mas utiles estan en perl, al menos en mi experiencia.
en cuanto al bifrost (no bitfrost), ya esta pasado de moda como troyano, mejor usa el poison ivy y de todas formas esta muy lammer andar usando troyanos, aunque es muy divertido para hacerle bromas a amigos Pues la verdad es que depende mucho del sistema de encriptación que utilice la web para las contraseñas.
Es bastante dificil para un webmaster conocer las contraseñas de los usuarios (y más en php). Automáticamente las contraseñas se guardan en la base de datos encriptadas con sistema MD5 (en php). Hay otros sistemas más complejos, como utf8; y sistemas que incluyen varias encripataciones a la vez.
Seguramente habréis oído hablar de los programas que se ponen a buscar contraseñas por fuerza bruta, probando con cada posible solución. Esos programas lo que hacen es encriptar cada posible solución (una a una) con el mismo sistema que encripta la web, e ir comparando con la contraseña encriptada que se desea conocer.
Al contrario que hacer un encriptador es extremadamente fácil, programar el desencriptador es bastante complicado ^^
Por ello los webmasters incluyen cada vez más en sus anuncios el tipo de encriptación que posee su web.
saludos.
pues veran yo ke llevo un rato utilizando y programando el nuke me he dado cuenta de ke algunos usuarios piensan eso! si se puede hacer!! el webmaster no es tan facil ke sepa tu contraseña pues se pone de una forma dificil para decifrar! es mas facil unicamente cambiarla cambiando la tabla de tu informacion y listo!!!
asi ke si se puede!! jijijijiji Claro, cambiando la base de datos supongo que se podrá, pero vamos... nadie hace eso afortunadamente en las páginas formales 
Tecnicamente claro que es posible, pero lo recomendable para evitar esos problemas sería no utilizar la misma contraseña que en nuestras cuentas de correo
Salu2
PUES VIENDO LO QUE HAN PUESTO, CREO QUE SI, ES MEJOR NO PONER MI MISMA CONTRASEÑA, ERROR QUE HE VENIDO COMETIENDO.
en cualqueir CMS o foro es muy simple de hacer.
una liena de codigo en el lugar preciso y esta.
y la verdad queda a la etica de cada webmaster hacerlo o no.
lo cual en mi opinion e sjugar sucio.
cierto, aunque metas la contraseña encriptada solo cambias el correo de kien le quieras robas la contraseña, pones que quieres recuperarla y fin, aunke hay algunas que para mas seguridad en vez de enviartela te genera una automaticamente.
| Quote: |
| cierto, aunque metas la contraseña encriptada solo cambias el correo de kien le quieras robas la contraseña, pones que quieres recuperarla y fin, aunke hay algunas que para mas seguridad en vez de enviartela te genera una automaticamente. |
Mmm, no tampoco es asi de sencillo. Por lo general todas las contarseñas en los cms son encriptadas por medio de MD5 y esto no tiene reversa. Asi que una cosa es generar una nueva contraseña y otro que te roben la contraseña.
Leer este topic me ha puesto paranoico, creo que cambiare mas seguido de contraseña. igual uso una diferente para todo =)Quisiera saber que es imposible.
Por supuesto que es posible, es mas, estoy seguro que ya lo hacen. Piensa un poco, si detectan tu ip, y existe la posibilidad de acceso remoto a equipos; entonces que tan dificil puede ser que ingresen a un equipo y le extraigan información?
Por ello existen paginas de encriptacion y seguridad establecidas en la red, porque es la forma de impedir que las personas actuen de forma abusiva con ciertos datos confidenciales, pero hasta el mismo gobierno esta descidido a obtener la información a como de lugar.
Y el ejemplo de lo anterior es cuando el Gobierno de Estados Unidos obligó a google a informar quienes accesaban paginas pornograficas, de lo que se deduce que google guardaba la informacion de los usuarios que le accesan, al igual que yahoo, pero sin tener que registrarte como usuario.
Un pagina que puede hacer algo asi es izymail.
Tengo mis dudas.
