Payloads para todos los gustos contra aplicaciones web

*DVWA Payload con Burp Suite* https://null-byte.wonderhowto.com/how-to/hack-like-pro-hack-web-apps-part-4-hacking-form-authentication-with-burp-suite-0163642/ Dependende de la tecnología, sistema, bases de datos, etc a la que nos enfrentemos, los vectores de ataques pueden variar. Por ejemplo, si estamos atacando una aplicación web que está conectada a una base de datos de MySQL, la inyección de código o payload variará si nos enfrentamos a una base de datos de Oracle, PostgreSQL, etc. Payloads All The Things es un repositorio alojado en Github que almacena una buena cantidad de payloads para aplicaciones web.
Leer más

Puntos invisibles en impresoras

*Puntos Invisibles* Hace un par de días saltó la “noticia” sobre un nuevo documento filtrado de la NSA con información confidencial sobre el posible ataque de Rusia a máquinas de votos días antes de las elecciones estadounidense. Poco después que la noticia se hiciera pública y el documento fuera publicado, también se convirtió en noticia la detención de la presunta persona que filtró dicho documento. Por lo visto esta persona identificada con el nombre “Reality Leigh Winner”, contratista de la NSA, fue identificada a través de las marcas o puntos invisibles (son puntos amarillas prácticamente invisible al ojo humano) que algunas impresoras dejan como rastro cuando imprimen.
Leer más

Repositorio de cheat sheets

*Cheat.sh* En España las llamamos chuletas, al menos en el sur. Las cheat sheets son pequeñas notas o apuntes que nos ayudan a recordar los puntos importantes sobre cierto tema. En informática son muy comunes por lo amplía que ésta es. Cheat.sh es un sitio web que unifica varios repositorios de chuletas. Éste provee de una interfaz web limpia desde la que podemos acceder a un total de 783 chuletas (actualmente) agrupadas en 8 secciones.
Leer más

Imágenes para practicar análisis forense digital

*Análisis Forense* El análisis forense es uno de esos campos que es tan importante como la defensa. Alguien dijo que hay dos tipos de empresas: aquellas que han sido comprometidas y aquellas que aún no saben que han sido comprometidas. Muchos expertos también recomiendan, sin dejar de lado una buena defensa, tener una buena estrategia de recuperación, porque no hay que preguntarse si vamos a ser comprometidos, sino cuando, y cuando esto ocurra ¿Cuál es tu plan?
Leer más

Código fuente del primer vídeo juego de aventura conversacional

Captura de pantalla de Colossal Cave Adventure Inspirado en DND (Dungeons & Dragons) (1974-75) y Hunt the Wumpus (1972), Colossal Cave Adventure es considerado el primer vídeo juego conversacional de la historia. Fue el primero en su categoría en usar análisis de lenguaje natural para llevar a cabo conversaciones con el jugador. Eric S. Raymond ha rescatado y publicado con el permiso de su autor el código fuente de Colossal Cave Adventure.
Leer más

Desarrollo de Aplicaciones con Swift

*App Development with Swift* Apple ha publicado un libro gratuito sobre desarrollo de aplicaciones usando Swift. El libro, App Development with Swift, no sólo se centra en Swift, sino también en principios básicos sobre programación, herramientas usadas para el desarrollo de aplicaciones en iOS y buenas prácticas de programación. El lector irá aprendiendo todos estos conceptos mediante la creación de 5 aplicaciones, desde el desarrollo de una linterna, al desarrollo de una aplicación de compras que se comunica con un servidor web.
Leer más

Explotación de la memoria dinámica

*Heap Exploitation* De manra muy simple, la memoria dinámica es aquella que se maneja en tiempo de ejecución. A esta sección de la memoria se le conoce como Heap. Al igual que la pila (Stack), el Heap también puede ser abusado para ganar control sobre la ejecución de un proceso, y a esto se le conoce como Heap Exploitation. La forma de explotar el Heap es muy distinta a la de explotar la pila, y algo más complicada.
Leer más

Tutorial sobre ensamblador para ARM

*ARM assembly* Mientras la arquitectura x86/x64 es la reina del microprocesador para ordenadores personales, ARM la es para dispositivos móviles y de bajo consumo. El entender el sistema a bajo nivel no es quizás uno de los requisitos para un programador web, pero sí lo es para escritores de exploits, o conducir tareas de ingeniería inversa. En este caso, tener un buen control y entendimiento del lenguaje ensamblador es esencial.
Leer más

Vídeos de OWASP AppSec Europa 2017

*OWASP AppSec EU 2017* Perfecto para el fin de semana si no tienes nada planeado, ya están disponibles los vídeos de la OWASP AppSec Europa 2017: Conference Opening Address by Gary Robinson The Gift Of Feedback by Shannon Lietz Boosting The Security Of Your Angular 2 Application by Philippe De Ryck Don’t Trust The DOM: Bypassing XSS Mitigations Via Script Gadgets by Sebastian Lekies The Key Under The Doormat by Stephan Huber and Steven Arzt OWASP Juice Shop by Björn Kimminich Printer Security by Jens Müller and Vladislav Mladenov 2017: Rise Of The Machines by Kev D’Arcy, Nicholas Raite and Rohini Sulatycki Looking Back To Look Ahead by Brian Honan Making Vulnerability Management Suck Less With DefectDojo by Greg Ande Don’t Get Caught Em-bed by Aaron Guzman So We Broke All CSPs You Won’t Guess What Happened Next by Michele Spagnuolo Long Term Study On SSL TLS Certificates by Enrico Branca What Is A DevSecOps Engineer?
Leer más

Hackeando aplicaciones iOS

Hacking iOS Applications Hacking iOS Applications (PDF) es un libro electrónico gratuito publicado por Security Innovation sobre, como su título indica, cómo hacker aplicaciones iOS, es decir, dispositivos móviles de Apple como iPhones o iPads. El libro comienza con la creación de tu propio laboratorio, extracción y generación de ficheros binarios, análisis, depuración y diferentes técnicas de ataques contra estos. El índice es el siguiente: Setting Up iOS Pentest Acquiring iOS Generating iOS Binary (.
Leer más
Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces