iGoat es un proyecto perteneciente a la fundación OWASP inspirado en WebGoat . Dicho proyecto contiene vulnerabilidades de forma intencionada y no es sólo para el investigador de seguridad, sino también para desarrolladores. Esto es, porque parte del ejercicio no sólo consta de atacar y comprometer la aplicación, sino que también está diseñado para (con comentarios en el código) arreglar las vulnarabilidades, así que puedes atacar, arreglar o ambos.
Hace tiempo que empecé a leer y juguetear con el lenguaje de programación Go , pero por falta de tiempo nunca llegué a programar nada con él, simplemente seguí el tour que tienen online.
Ultimamente, quizás por la popularidad que Go está ganando (éste sí que creo que le puede toser a Java en un futuro cercano), tenía ganas de realmente familiarizarme con él, así que la semana pasada me puse manos a la obra y me voví a hacer el tour y leer algo de documentación. Lo siguiente era escribir código. Pensando que implementar, me dio por mirar Latch de ElevenPath a ver si tenían un SDK para Go, y parece que no, así que a eso me puse y le dediqué la tarde (y la noche) del domingo a crear una librería para Go.
Ada Augusta Byron King, hija del Poeta Lord Byron y apasionada por las matemáticas, hoy en día tiene el honor de ser considerada la primera persona que creó un algoritmo para ser procesado de forma automática por una máquina. Ada nació el 10 de diciembre de 1815 en Londres y murió a los 36 años, el 27 de noviembre de 1852. Poco después de su nacimiento, sus padres se divorciaron, y Ada se iría a vivir con su madre, Annabela. Lo último que Annabela quería es que Ada desarrollara el mismo carácter que su padre e intentó apartarla de la poesía lo máximo posible y para ello usó las matemáticas.
Dependende de la tecnología, sistema, bases de datos, etc a la que nos enfrentemos, los vectores de ataques pueden variar. Por ejemplo, si estamos atacando una aplicación web que está conectada a una base de datos de MySQL, la inyección de código o payload variará si nos enfrentamos a una base de datos de Oracle, PostgreSQL, etc.
Payloads All The Things es un repositorio alojado en Github que almacena una buena cantidad de payloads para aplicaciones web. Desde inecciones genéricas de SQL a ataques más específicos contra tecnologías concretas como Amazon S3, PHP, Apache Struts, etc.
Hace un par de días saltó la “noticia” sobre un nuevo documento filtrado de la NSA con información confidencial sobre el posible ataque de Rusia a máquinas de votos días antes de las elecciones estadounidense. Poco después que la noticia se hiciera pública y el documento fuera publicado, también se convirtió en noticia la detención de la presunta persona que filtró dicho documento.
Por lo visto esta persona identificada con el nombre “Reality Leigh Winner”, contratista de la NSA, fue identificada a través de las marcas o puntos invisibles (son puntos amarillas prácticamente invisible al ojo humano) que algunas impresoras dejan como rastro cuando imprimen. Aunque esta técnica no es nueva, en este caso parece haber sido efectiva.
En España las llamamos chuletas, al menos en el sur. Las cheat sheets son pequeñas notas o apuntes que nos ayudan a recordar los puntos importantes sobre cierto tema. En informática son muy comunes por lo amplía que ésta es.
Cheat.sh es un sitio web que unifica varios repositorios de chuletas. Éste provee de una interfaz web limpia desde la que podemos acceder a un total de 783 chuletas (actualmente) agrupadas en 8 secciones. Dichas secciones cubren comandos de Linux y varios lenguajes de programación.
El análisis forense es uno de esos campos que es tan importante como la defensa. Alguien dijo que hay dos tipos de empresas: aquellas que han sido comprometidas y aquellas que aún no saben que han sido comprometidas. Muchos expertos también recomiendan, sin dejar de lado una buena defensa, tener una buena estrategia de recuperación, porque no hay que preguntarse si vamos a ser comprometidos, sino cuando, y cuando esto ocurra ¿Cuál es tu plan? Por supuesto saber cómo hemos sido comprometidos es un requisito inamovible.
Inspirado en DND (Dungeons & Dragons) (1974-75) y Hunt the Wumpus (1972), Colossal Cave Adventure es considerado el primer vídeo juego conversacional de la historia. Fue el primero en su categoría en usar análisis de lenguaje natural para llevar a cabo conversaciones con el jugador.
Eric S. Raymond ha rescatado y publicado con el permiso de su autor el código fuente de Colossal Cave Adventure. El código publicado corresponde a la versión 2.5 del juego que fue lanzado en 1995, pero éste fue originalmente desarrollado en 1976 por William Crowther y más tarde extendido por el mismo autor y Don Woods , escrito en FORTRAN sobre un PDP-10.
Apple ha publicado un libro gratuito sobre desarrollo de aplicaciones usando Swift. El libro, App Development with Swift , no sólo se centra en Swift, sino también en principios básicos sobre programación, herramientas usadas para el desarrollo de aplicaciones en iOS y buenas prácticas de programación.
El lector irá aprendiendo todos estos conceptos mediante la creación de 5 aplicaciones, desde el desarrollo de una linterna, al desarrollo de una aplicación de compras que se comunica con un servidor web.
De manra muy simple, la memoria dinámica es aquella que se maneja en tiempo de ejecución. A esta sección de la memoria se le conoce como Heap. Al igual que la pila (Stack), el Heap también puede ser abusado para ganar control sobre la ejecución de un proceso, y a esto se le conoce como Heap Exploitation.
La forma de explotar el Heap es muy distinta a la de explotar la pila, y algo más complicada. Además, con las protecciones ofrecidas por los sistemas operativos modernos para proteger la ejecución de código en el segmento de memoria destinado a la pila, la explotación del Heap es prácticamente nuestra única técnica de explotación de la memoria.