Mejora tus habilidades de penetración... ¡web!

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc. Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
Leer más

Guía de fortificación y seguridad de servidores web Apache

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de internet. Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador. Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.
Leer más

Presentaciones de la Virus Bulletin 2013

El pasado 2 - 4 de octubre se celebró en Berlín otra conferencia sobre seguridad informática enfocada más al tema del malware: VB2013 - Virus Bulletin 2013 (no, no es Visual Basic!). Esta es la 23 edición de esta conferencia. Las presentaciones que se dieron ya están disponibles para descarga. La lista es la siguiente Corporate stream Andreas Lindh ('Surviving 0-days - reducing the window of exposure') Sabina Datcu ('Targeted social engineering attacks.
Leer más

Presentaciones de la HITBSECCONF Malaysia 2013

Las presentaciones de la Hack In The Box Security Conference (HITBSECCONF) 2013 celebrada en Malasia han sido publicadas. Las lista de las diapositivas es la siguiente: D1 KEYNOTE - Andy Ellis - Cognitive Injection.pdf D1T1 - Collin Mulliner - Android DDI - Dynamic Dalvik Instrumentation of Android Applications.pdf D1T1 - Dominic Chell and Shaun Colley - Practical Attacks Against Encrypted VoIP Communications.pdf D1T1 - Gianni Gnesa - Hacking Corporations Using Unconventional Chained Exploits.
Leer más

Ataques dirigidos con Cobalt Strike

Raphael Mudge, creador de Armitage ha creado un curso llamado Tradecraft - Red Team Operations en el que durante unas 4 horas en total divididas en 9 vídeos, nos muestra como llevar a cabo un ataque dirigido como un actor externo usando Cobalt Strike. Los vídeos están disponible en Youtube de forma totalmente gratuita. La lista de los mismos es la siguiente: Introduction Basic Exploitation (aka Hacking circa 2003) Getting a Foothold Social Engineering Post Exploitation with Beacon Post Exploitation with Meterpreter Lateral Movement Offense in Depth Operations
Leer más

16 retos de Cross-site Scripting (XSS)

Encontrar vulnerabilidades XSS o Cross-site Scripting es una tarea esencial para un auditor de seguridad de aplicaciones web. Con escape.alf.nu nunca ha sido más fácil aprender a saltarnos filtros de escape en aplicaciones web. Y digo nunca ha sido más fácil, porque la interfaz de este sitio nos muestra el código javascript que tenemos que atacar, un campo de texto donde escribimos nuestra inyección y en tiempo real, a medida que vamos escribiendo, nos va mostrando en otro campo de texto lo que el servidor recibe y la interpretación o ejecución del mismo.
Leer más

Parte del código fuente de Facebook de agosto de 2007

En agosto de 2007, alguien mandó a Nik Cubrilovic dos ficheros con el código fuente de la página de inicio (index.php) y la de búsqueda (search.php) de Facebook. Cubrilovic entonces publicó un artículo (Facebook Source Code Leaked) en el que comentaba el hecho, pero no publicó el contenido de dichos ficheros. El problema, según parece, radicaba en un fallo de configuración en los servidores de Facebook y afecta a ciertos usuarios.
Leer más

¿Y tú de qué vas?, Sergio de los Santos

Sergio de los Santos 1) ¿Quién eres y a qué te dedicas? Un tipo que se dedica a la seguridad de casualidad. Bastante torpe y lento, pero curioso y obstinado. Creo que mi nivel de "dar por entendido" algo, nunca está totalmente satisfecho. En cualquier caso ya no tengo tiempo de nada, así que solo aspiro a que la profesión no se complique demasiado. Me dedico a la seguridad informática.
Leer más

Premios Bitacoras 2013

Ya puedes votar a tú blog favorito para las categorías que ofrecen los premios Bitacoras 2013. Y CyberHades vuelve a estar rondando por allí … estamos en concreto en la categoría de Blog de Seguridad (aunque no sólo hablamos de seguridad, si es desde luego el tema más recurrente del blog). Aunque no tenemos nada que hacer frente a los blogs de maestros como SecurityByDefault ó Un Informático en el lado del mal, nos hace ilusión estar entre ellos (es todo un honor) y lo que realmente nos gusta es ver que nos habéis votado.
Leer más

Vídeos de la BruCON 0x05 (2013)

Otra serie de vídeos sobre seguridad informática. Estos son de la edición 2013 de BruCON 0x05. Devops Panel (part 2) Lightning Talks Session #1 David Mortman's Keynote David Perez, Jose Pico - Geolocation of GSM mobile devices Russ Gideon - Paint by Numbers vs. Monet Robert Graham - Data-plane networking Dan Guido's Keynote Stephan Chenette - Building Custom Android Malware for Penetration Testing Jake Valletta - CobraDroid TB. Henriques, T.
Leer más
Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces