EsGeeks Logo Movil
Logo EsGeeks
  • Seguridad
    Seguridad

    La seguridad informática o ciberseguridad es un tema indispensable en el mundo tecnológico de hoy. Y aquí en esGeeks conocerás los mejores tips, trucos y consejos para mantener tu privacidad e integridad invulnerable.

    Quédate aquí para sacar el máximo provecho de los temas actuales sobre seguridad informática.

    Sub404 Herramienta para Comprobar la Vulnerabilidad de Subdomain Takeover

    Sub404: Herramienta para Comprobar la Vulnerabilidad de Subdomain Takeover

    Pruebas de Seguridad de Aplicaciones Web

    Pruebas de Seguridad de Aplicaciones Web: Entender los Tipos, Propósito e Importancia

    Afrog Una Herramienta para Encontrar Vulnerabilidades

    Afrog: Una Herramienta para Encontrar Vulnerabilidades

  • Hacking
    Hacking

    Los profesionales de la seguridad saben que el hacking ético, también conocido como pruebas de penetración, es una habilidad vital. Consiste en analizar las aplicaciones web y las redes para descubrir vulnerabilidades que los hackers podrían explotar.

    Ser capaz de reconocer dichas vulnerabilidades en el software que utilizamos a diario puede ser una cuestión de vida o muerte. Aquí te compartimos nuestro mejor contenido.

    Iniciarse en la Seguridad Informática y Hacking Ético

    ¿Cómo Iniciarse en la Seguridad Informática y Hacking Ético?

    MSDAT Herramienta Pentesting a Bases de Datos Microsoft SQL

    MSDAT: Herramienta Pentesting a Bases de Datos Microsoft SQL

    Limitaciones de las Pruebas de Penetración que debes Conocer

    7 Limitaciones de las Pruebas de Penetración que debes Conocer

  • Linux
    Linux

    En esta sección de Linux aprenderás lo necesario para sacarle el máximo provecho al SO de software libre. Con tutoriales y pantallas paso a paso, no necesitarás ser un experto ni mucho menos usar a diario Linux.

    No necesitas tenerlo instalado como sistema primario, puedes usarlo compartido con Windows o instalar una máquina virtual. Paso a paso y poco a poco aprenderás a amar Linux y escoger tu distribución de Linux favorita.

    ZapZap WebApp no oficial de WhatsApp Web para Linux

    ZapZap: WebApp no oficial de WhatsApp Web para Linux

    Operadores para Concatenar Comandos en Linux

    10 Útiles Operadores para Concatenar Comandos en Linux

    Buscar Rootkits en Linux con RkHunter y Chkrootkit

    Buscar Rootkits en Linux con RkHunter y Chkrootkit

  • Windows
    Windows

    Trucos, tips, consejos y tutoriales para sacar el máximo provecho al sistema operativo Windows. Windows 7, Windows 8, Windows 8.1 y Windows 10.

    Quédate aquí y disfruta de gran cantidad de trucos para hacer las cosas más fáciles, asombrosas y muchas utilidades que son posibles en el sistema operativo de Microsoft.

    Tenorshare 4DDiG Software de Recuperación de Datos

    TENORSHARE 4DDIG: El Mejor Software de Recuperación de Datos en Windows

    Reseña de WonderFox DVD Ripper Pro para Backup de DVDs Dañados

    Reseña WonderFox DVD Ripper Pro: Backup DVDs Dañados a Archivos Digitales

    Eliminar Archivos que no se puedan Recuperar en Windows

    Cómo Eliminar Archivos de forma que no se puedan Recuperar [Windows]

  • Android
    Android

    Trucos, tips y consejos para sacar el máximo provecho a tu Android. Pantallasos y tutoriales paso a paso de cómo hacer las cosas fáciles en Android.

    Hacer root a tu smartphone, aplicaciones, juegos, emuladores, hacks y mucho más encontrarás en esGeeks!

    Posible Espiar un Teléfono sin tocarlo ni Instalar Programas

    ¿Es Posible Espiar un Teléfono sin tocarlo ni Instalar Programas?

    Buscador de Móviles para Comparar Características

    El Buscador de Móviles que te Permite Comparar Características

    Monitorear una Cuenta de LINE con KidsGuard for Line

    Cómo Monitorear una Cuenta de LINE con KidsGuard for Line

  • Web
    Web

    En Web te proporcionamos las mejores páginas, herramientas y utilidades para aprovecharlas día a día. Descargas, ofertas de trabajos, contenido viral y mucho más encontrarás en esGeeks!

    Déjate sorprender por nosotros sorprende a los demás. Lo más destacado de la Web e Internet lo encontrarás aquí, en esGeeks!

    Secretos y Trucos de las Apuestas Deportivas

    7 Secretos y Trucos de las Apuestas Deportivas

    Descargar Minecraft 1.20

    Descargar Minecraft 1.20.10, 1.20.20 y 1.20

    Cómo Crear un Favicon para el Sitio Web

    Cómo Crear un Favicon para el Sitio

  • Contacto
  • Cursos
    • Ofertas
    • Cursos
  • 0
Leyendo
QRLJacking: Nuevo Vector de Ataque de Ingeniería Social
CompartirTweet
QRLJacking Nuevo Vector de Ataque de Ingeniería Social
QRLJacking Nuevo Vector de Ataque de Ingeniería Social
Hacking
·9 Minutos de lectura

QRLJacking: Nuevo Vector de Ataque de Ingeniería Social

El QRLJacking o Quick Response Code Login Jacking es un vector de ataque simple pero desagradable que afecta a todas las aplicaciones que se apoyan en la función “Login with QR code” (Iniciar sesión con QR) como una forma segura de iniciar sesión en las cuentas que tiene como objetivo secuestrar la sesión de los usuarios por los atacantes.

Framework de Explotación QRLJacking
Framework de Explotación QRLJacking

QRLJacking es la combinación de Clickjacking + SSO (Single Sign On) + código QR.

Instalación

Requisitos previos antes de la instalación:

  • Linux o MacOS. (No funciona en Windows)
  • Python 3.7+

Nota

No instales QRLJacker y Firefox como root en la sesión de un usuario normal porque no está soportado por Firefox y daría error al ejecutar los módulos en el framework.

Importante

Si tienes varias versiones de Python, usa el comando python3.7 en lugar de python3 en los siguientes pasos y usa python3.7 -m pip en lugar de pip, pip3 o incluso python3 -m pip porque esa es la razón del 95% de los problemas que se abren aquí. Creo que la gente suele saltarse las partes importantes

  1. Actualiza el navegador Firefox a la última versión
  2. Instala la última versión de geckodriver desde aquí y extrae el archivo y luego:
chmod +x geckodriver
sudo mv -f geckodriver /usr/local/share/geckodriver
sudo ln -s /usr/local/share/geckodriver /usr/local/bin/geckodriver
sudo ln -s /usr/local/share/geckodriver /usr/bin/geckodriver
  1. Clona el repositorio y dirígete a la carpeta del programa:
git clone https://github.com/OWASP/QRLJacking
cd QRLJacking/QRLJacker
  1. Instale todos los requisitos con
pip install -r requirements.txt
  • Ahora puedes ejecutar el framework con
python3 QrlJacker.py --help

Probado en

  • Ubuntu 18.04 Bionic Beaver
  • Kali Linux 2018.x y superior

Uso

Argumentos de la línea de comandos

usage: QrlJacker.py [-h] [-r ] [-x ] [--debug] [--dev] [--verbose] [-q]
optional arguments:
  -h, --help  show this help message and exit
  -r          Execute a resource file (history file).
  -x          Execute a specific command (use ; for multiples).
  --debug     Enables debug mode (Identifying problems easier).
  --dev       Enables development mode (Reloading modules every use).
  --verbose   Enables verbose mode (Display more details).
  -q          Quit mode (no banner).

Menú de Ayuda principal

Ver también
Hack4Squad Framework Hacking y Scanning
Hacking

Hack4Squad: Un Framework de Hacking y Scanning en Bash

Alexynior·
General commands
=================
	Command               Description
	---------             -------------
	help/?                Show this help menu.
	os      <command>     Execute a system command without closing the framework
	banner                Display banner.
	exit/quit             Exit the framework.
Core commands
=============
	Command               Description
	---------             -------------
	database              Prints the core version, check if framework is up-to-date and update if you are not up-to-date.
	debug                 Drop into debug mode or disable it. (Making identifying problems easier)
	dev                   Drop into development mode or disable it. (Reload modules every use)
	verbose               Drop into verbose mode or disable it. (Make framework displays more details)
	reload/refresh        Reload the modules database.
Resources commands
==================
	Command               Description
	---------             -------------
	history               Display commandline most important history from the beginning.
	makerc                Save the most important commands entered since start to a file.
	resource  <file>      Run the commands stored in a file.
Sessions management commands
============================
	Command               Description
	---------             -------------
	sessions (-h)         Dump session listings and display information about sessions.
	jobs     (-h)         Displays and manages jobs.
Module commands
===============
	Command               Description
	---------             -------------
	list/show             List modules you can use.
	use      <module>     Use an available module.
	info     <module>     Get information about an available module.
	previous              Runs the previously loaded module.
	search   <text>       Search for a module by a specific text in its name or in its description.

Menú de Ayuda del módulo

General commands
=================
	Command               Description
	---------             -------------
	help/?                Show this help menu.
	os      <command>     Execute a system command without closing the framework
	banner                Display banner.
	exit/quit             Exit the framework.
Core commands
=============
	Command               Description
	---------             -------------
	database              Prints the core version and then check if it's up-to-date.
	debug                 Drop into debug mode or disable it. (Making identifying problems easier)
	dev                   Drop into development mode or disable it. (Reload modules every use)
	verbose               Drop into verbose mode or disable it. (Make framework displays more details)
	reload/refresh        Reload the modules database.
Resources commands
==================
	Command               Description
	---------             -------------
	history               Display commandline most important history from the beginning.
	makerc                Save the most important commands entered since start to a file.
	resource  <file>      Run the commands stored in a file.
Sessions management commands
============================
	Command               Description
	---------             -------------
	sessions (-h)         Dump session listings and display information about sessions.
	jobs     (-h)         Displays and manages jobs.
Module commands
===============
	Command               Description
	----------            --------------
	list/show             List modules you can use.
	options               Displays options for the current module.
	set                   Sets a context-specific variable to a value.
	run                   Launch the current module.
	use     <module>      Use an available module.
	info    <module>      Get information about an available module.
	search  <text>        Search for a module by a specific text in its name or in its description.
	previous              Sets the previously loaded module as the current module.
	back                  Move back from the current context.

Menú de ayuda de los comandos de las sesiones

usage: sessions [-h] [-l] [-K] [-s] [-k] [-i]
optional arguments:
  -h   Show this help message.
  -l   List all captured sessions.
  -K   Remove all captured sessions.
  -s   Search for sessions with a specifed type.
  -k   Remove a specifed captured session by ID
  -i   Interact with a captured session by ID.

Menú de ayuda del comando Jobs

usage: jobs [-h] [-l] [-K] [-k]
optional arguments:
  -h   Show this help message.
  -l   List all running jobs.
  -K   Terminate all running jobs.
  -k   Terminate jobs by job ID or module name

Aplicaciones y servicios web vulnerables

Hay muchas aplicaciones y servicios web conocidos que eran vulnerables a este ataque hasta la fecha en que fue escrita este documento. Aquí hay algunos ejemplos (reportados) incluyendo, pero no limitado a:

  • Aplicaciones de chat: WhatsApp, WeChat, Line, Weibo, mensajería instantánea QQ
  • Servicios de correo: QQ Mail (personal y empresarial), Yandex Mail
  • Comercio electrónico: Alibaba, Aliexpress, Taobao, Tmall, 1688.com, Alimama, Taobao Trips
  • Banca en línea: AliPay, Yandex Money, TenPay
  • Servicios de pasaporte “críticos”: Yandex Passport (Yandex Mail, Yandex Money, Yandex Maps, Yandex Videos, etc.)
  • Software de gestión de móviles: AirDroid
  • Otros servicios: MyDigiPass, Zapper & Zapper WordPress Login by QR Code plugin, Trustly App, Yelophone, Alibaba Yunos

Documento técnico

El documento técnico que aclara todo sobre el vector de ataque QRLJacking se puede encontrar directamente en esta Wiki.

Repositorio aquí.

Etiquetas
AtaquesHerramientas HackingIngeniería SocialQrljacking
0 4 3 0
CompartirTweetPin6EnviarCompartir
Relacionado
Iniciarse en la Seguridad Informática y Hacking Ético

¿Cómo Iniciarse en la Seguridad Informática y Hacking Ético?

MSDAT Herramienta Pentesting a Bases de Datos Microsoft SQL

MSDAT: Herramienta Pentesting a Bases de Datos Microsoft SQL

2 Comentarios

  1. felipe dice:
    30 abril, 2021 a las 8:41 pm

    bro buenas disculpas hay algo que estoy haciendo mal no puedo iniciar el script al aplicar run segui todas las instrucciones existe posibilidad de que puedas hacer un video instalando esto bro saludos.

    Responder
    1. Alexynior dice:
      2 mayo, 2021 a las 1:44 pm

      Hola Felipe 🙋‍♂️

      Lo consideraremos!, sin embargo tenemos algunos otros pendientes que por cuestiones de tiempo no hemos podido explayar 😬

      Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¡Estamos Aquí!

  • Like 22,996 Fans
  • Follow 11,089 Followers
  • Follow 1,085 Followers

Más Leídos

Iniciarse en la Seguridad Informática y Hacking Ético

¿Cómo Iniciarse en la Seguridad Informática y Hacking Ético?

MSDAT Herramienta Pentesting a Bases de Datos Microsoft SQL

MSDAT: Herramienta Pentesting a Bases de Datos Microsoft SQL

EsGeeks Logo
  • Suscribirme

Acerca de EsGeeks

Sitio web referente a Ethical Hacking y Seguridad Informática

Aplicaciones

  • Netflix Bajo Precio
  • Ofertas Software
  • ¿Cuál es Mi Dirección IP?
  • Generar Contraseña Segura
  • SMS Temporal
  • Email Temporal

Enlaces Útiles

  • Contacto
  • Política de Cookies
  • Política de Privacidad
  • Términos y Condiciones
  • Sorteos con EsGeeks
  • Imágenes by Depositphotos
© 2022 Todos los derechos reservados
EsGeeks Logo Movil
  • Suscribirme

Mi Carro Close (×)

0
Tu carrito está vacío
Ver tienda
Comience a escribir para ver resultados o presione Escape para cerrar
Trucos Linux Redes Seguridad Informática Trucos Seguridad Terminal Linux
Ver todos los resultados

SUSCRÍBETE

Recibe los Últimos Artículos de Seguridad y Hacking en tu Bandeja de Correo

He leído y acepto los términos y condiciones

Boletín de EsGeeks
Cookies Para que este sitio funcione adecuadamente, a veces instalamos en los dispositivos de los usuarios pequeños ficheros de datos, conocidos como cookies. La mayoría de los grandes sitios web también lo hacen.
Aceptar cookies
Leer más
Ajustes de cookies
Configuración de Cookie Box
Configuración de Cookie Box

Ajustes de privacidad

Decida qué cookies desea permitir.Puede cambiar estos ajustes en cualquier momento. Sin embargo, esto puede hacer que algunas funciones dejen de estar disponibles. Para obtener información sobre eliminar las cookies, por favor consulte la función de ayuda de su navegador.MÁS INFORMACIÓN SOBRE LAS COOKIES QUE USAMOS.

Con el deslizador, puede habilitar o deshabilitar los diferentes tipos de cookies:

  • Block all
  • Essential
  • Functionality
  • Analytics
  • Advertising

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado

Este sitio web no

  • Recordar los datos de inicio de sesión
  • Funcionalidad: Recordar los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado
  • Funcionalidad: Recordar todos los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados

Este sitio web no

  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Esencial: Recordar sus ajustes de permisos de cookies
  • Esencial: Permitir cookies de sesión
  • Esencial: Recopilar la información que introduzca en el formulario de contacto de un boletín informativo y otros formularios en todas las páginas
  • Esencial: Hacer un seguimiento de lo que introduzca en la cesta de la compra
  • Esencial: Verificar que ha iniciado sesión en su cuenta de usuario
  • Esencial: Recordar la versión del idioma seleccionado
  • Funcionalidad: Recordar todos los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas

Este sitio web no

  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web

  • Funcionalidad: Recordar los ajustes de redes sociales
  • Funcionalidad: Recordar el país y la región seleccionados
  • Análisis: Hacer un seguimiento de las páginas visitadas y de la interacción en las mismas
  • Análisis: Hacer un seguimiento de la ubicación y la región según la dirección IP
  • Análisis: Hacer un seguimiento del tiempo pasado en cada página
  • Análisis: Aumentar la calidad de los datos de las funciones estadísticas
  • Publicidad: Adaptar la información y la publicidad a sus intereses según, p.ej., el contenido que ha visitado antes. (Actualmente no usamos segmentación ni cookies de segmentación)
  • Publicidad: Recopilar información personalmente identificable como el nombre y la ubicación

Este sitio web no

  • Recordar los datos de inicio de sesión
Guardar cerrar