Librería OWASP

El proyecto abierto sobre seguridad en aplicaciones web (OWASP), además de toda la magnífica información que podemos encontrar en su web, también tienen una tienda virtual en Lulu donde ofrecen libros sobre varios de sus proyectos. Dichos libros, tienes la opción de bajártelo de forma totalmente gratuita o también puedes comprarlos de impresos a un precio bastante económico, una magnífica idea para apoyar a este proyecto. Entre los libros que podemos adquirir están:
Leer más

Introducción a Scapy

Según la web de Scapy, éste es un programa interactivo de manipulación de paquetes de red. Es capaz de capturar y manipular paquetes de un amplio número de protocolos de red. Con Scapy es muy fácil escanear, monitorizar rutas (tracerouting), tests unitarios, ataques, identificación de redes, etc. Scapy está escrito en python y lo puedes usar como herramienta totalmente independiente a través de su shell interactiva, así como en forma de librería integrada en tu programa.
Leer más

Presentaciones de la RECON 2013

Ya podemos descargarnos algunas de las presentaciones de la RECON de este año. RECON es una conferencia sobre seguridad enfocada al campo de la ingeniería inversa y la explotación, y fue celebrada del 21 al 23 de junio en Montreal, Canadá. Las list de las diapositivas hasta ahora disponibles es la siguiente: Aleksandr Matrosov and Eugene Rodionov-Reconstructing-Gapz Position-Independent Code Analysis Problem Bacura-Just keep trying ! Unorthodox ways to hack an old-school hardware Dmitry Nedospasov and Thorsten Schroder-Keep your tentacles off my bus%2c introducing Die Datenkrake[big] Dmitry Nedospasov and Thorsten Schroder-Keep your tentacles off my bus%2c introducing Die Datenkrake[small] Elias Bachaalany-Inside EMET 4 Gabriel Tremblay-Reversing P25 Radios Josh Thomas-Hiding @ Depth - Exploring %26 Subvertion NAND Flash memory Joshua J.
Leer más

Presentaciones de la Hack in Paris 2013

Se han publicado la mayoría de las presentaciones dadas en la Hack in Paris 2013 celebrada del 17 al 21 de junio. La lista es la siguiente: Remoting android applications for fun and profit Windows Phone 8 application security I'm in your browser, pwning your stuff - Attacking Google Chrome extensions Origin policy enforcement in modern browsers Web Applications Forensics DBI Frameworks applied to computer security : Uses and comparative The Realex payments application security story, narrated by Security Ninja The Control of technology by nation state : Past, Present and Future - The Case of Cryptology and information security Burp Pro : Real-life tips and tricks Malware vs Virtualization : The endless cat and mouse play Next generation rootkits for ARM based devices The inner HTML Apocalypse : How MXSS attacks change everything we believed to know so far
Leer más

Colección de máquinas virtuales y aplicaciones web vulnerables

Vulnhub es otro sitio web que se dedica a recopilar máquinas virtuales y aplicaciones web con fallos de seguridad. Cada VM o aplicación tiene su texto explicándote lo que puedes esperar y cual es tu objetivo. Es otro recurso ideal para practicar tus habilidades de penetración/explotación de software. Además puedes encontrar un apartado con información sobre como montar tu propio laboratorio de pruebas, con una seria de herramientas recomendadas y enfocado a distintos tipos de tareas como: explotación, ingeniería inversa, análisis forense (todavía no disponible), etc.
Leer más

(IN)SECURE Magazine 38

En junio del 2013, (IN)SECURE Magazine, una revista electrónica sobre seguridad llega a su número 38. En éste podemos encontrar el siguiente contenido: Becoming a computer forensic examiner UEFI secure boot: Next generation booting or a controversial debate How to detect malicious network behavior What startups can learn from enterprise level data security tactics To hack back or not to hack back? Report: Infosecurity 2013 DNS attacks on the rise: Rethink your security posture IT security jobs: What's in demand and how to meet it Remote support and security: What you don’t know can hurt you A closer look to HITBSecConf 2013 Amsterdam Os podéis descargar el PDF desde aquí
Leer más

OWASP Top Ten Project

Después de un tiempo en versión Release Candidate de la que nos habló Chema Alonso, finalmente ya ha sido publicada la lista definitiva de los 10 mayores problemas de seguridad en aplicaciones web de 2013 . Este año la lista definitiva es la siguiente: A1 Injection (Inyección) A2 Broken Authentication and Session Management (Manejo de sesiones y autenticación rota) A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References (Referencia directa a objectos insegura) A5 Security Misconfiguration (Errores de configuración) A6 Sensitive Data Exposure (Exposición de datos sensibles) A7 Missing Function Level Access Control (Falta de control de nivel a de acceso a funciones) A8 Cross-Site Request Forgery (CSRF) A9 Using Known Vulnerable Components (Uso de componentes vulnerables) A10 Unvalidated Redirects and Forwards (Falta de validación de redirecciones) Podéis acceder al informe completo en formato PDF o a través de su wiki.
Leer más

Nuevo tutorial en PentesterLab

PentesterLab nos deleitan con un nuevo tutorial sobre inyección de SQL. En este caso llamado From SQL injection to the shell II. En el mismo aprenderemos: Explotación por inyección de SQL a ciegas usando explotación basada en el tiempo (Blind SQL injection exploitation using time-based exploitation) Ejecución de código usando una shell web PHP Como en los tutoriales anteriores, se nos provee: Documento PDF con las instrucciones Imagen ISO para sistemas de 32 y 64 bits.
Leer más

Ataques por fuerza bruta en iOS con Teensy

Teensy es un dispositivo USB programable, que entre otras cosas se puede usar para emular un teclado. Con un dispositivo Teensy 3.0, han conseguido poder hacer un ataque por fuerza bruta a la pantalla de restricción en iOS, concretamente en un iPad (parece ser que no se puede conectar un teclado externo a un iPhone). En dicha pantalla de restricción, cuando introduces el código PIN incorrectamente varias veces, el sistema inhabilita el teclado virtual, 1 minuto, 5 minutos, 15 minutos, etc por cada intento fallido, pero el problema o más bien vulnerabilidad surge cuando la entrada se hace por un teclado externo.
Leer más

20 años de DEF CON a descarga

Si el otro día hablábamos de la disponibilidad del material de la DEF CON 20, hoy os hablamos de una nueva página que han creado en la web de la DEF CON llamada DEF CON Torrent Links, dónde podemos descargarnos todo el material de cada una de las ediciones de esta conferencia, más algún material extra a través de ficheros torrent. Estos son todos los enlaces a los ficheros torrent:
Leer más
Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces