Las vulnerabilidades web están de moda, y una de ellas es la inyección CRLF (CRLF Injection). Esta vulnerabilidad ocurre cuando un atacante es capaz de inyectar datos en una petición a un servidor, debido a la falta de filtrado de datos de entrada por parte del mismo. En este caso, la web afectada permite pasar directamente valores a los campos de respuesta (Location, Set-Cookie..) sin sanearlos lo que a su vez nos permite diversos tipos de ataque como XSS, Cache-Poisoning, Cache-based defacement,page injection..
A estas alturas, cuando Kim Dotcom ya ha anunciado y puesto en marcha su proyecto me.ga, el caso Megaupload sigue coleando con declaraciones preocupantes por parte del gobierno de Estados Unidos. Según su argumentación en una de las ramificaciones del caso, cuando subimos algo a la nube perdemos nuestros derechos de propiedad sobre el contenido.
En base a un trasfondo de reivindicaciones en pro de los derechos sociales para el pueblo ruso, el grupo de hackers GhostShell ha echo públicas dos millones y medio de cuentas de correo y otros archivos pertenecientes a agencias gubernamentales y grandes corporaciones rusas.
Un par de estudios han mostrado como miles de websites montadas sobre servidores Apaches siguen mostrando públicamente datos internos que podrían ser utilizados por atacantes a través de la funcionalidad server-status.
Hace algo más de un año se descubrió que la autoridad certificadora (CA) holandesa Diginotar había sido hackeada, ahora ha visto la luz el informe completo de las investigaciones que muestra que el fallo de seguridad fue mucho más grave de lo que se creía, ya que el atacante tuvo bajo control todos los servidores certificadores.
