Plataforma de pen testing móvil

De la mano de Offensive Security, creadores de la archi conocida plataforma de pen testing Kali Linux, nos llega la tercera versión de NetHunter, una plataforma de pen testing para dispositivos móviles. NetHunter es una ROM basada en Android con un kernel personalizado y una aplicación que provee de herramientas sobre seguridad ofensiva principalmente. Además del acceso a todo el arsenal de herramientas de Kali, NetHunter también ofrece ataques a teclados HID, BadUSB, puntos de accesos hostiles, etc.
Leer más

"Hackéate" tú primero

Hack yourself first (PDF) es un libro disponible de forma totalmente gratuita en el nos enseñan técnicas de pen testing básicas. A pesar de que dichas técnicas sean comunes en un ejercicio de penetración, el propósito del libro es la defensa, es decir, nos enseña a encontrar vulnerabilidades comunes (más comunes de lo que muchas veces creemos) en nuestra propia red o sistemas antes de que la encuentre algún pen tester o en el peor de los casos, algún criminal.
Leer más

Aplicación iOS vulnerable para profesionales, estudiantes y entusiastas

DVIA (Damn Vulnerable iOS Application) de acuerdo son su web es una aplicación para iOS (iPhones/iPads) con las principales 10 vulnerabilidades en dispositivos móviles según OWASP. Las vulnerabilidades incluidas son: Insecure Data Storage Jailbreak Detection Runtime Manipulation Transport Layer Security Client Side Injection Information Disclosure Broken Cryptography Application Patching El objetivo de esta aplicación es el proveer una plataforma de "entrenamiento" para entusiastas, profesionales y estudiantes de la seguridad móvil (iOS).
Leer más

Más ejercicios prácticos sobre seguridad

El otro día publicamos una entrada relacionada a un ejercicio práctico sobre inyección de SQL, terminando ganado acceso a una shell del sistema. En la misma web, pentesterlab han publicado varios ejercicios más de este tipo, pero enfocados a distinto tipos de vulnerabilidades. Los ejercicios hasta ahora disponibles son: CVE-2012-1823: PHP CGI PHP Include And Post Exploitation CVE-2012-2661: ActiveRecord SQL injection Introduction to Linux Host Review Rach Cookies and Commands Injection (No disponible todavía) Además del que ya os hablamos From SQL injection to shell Nada, ¡a seguir aprendiendo!
Leer más

BeEF en el mundo real

BeEF o The Browser Exploitation Framework es básicamente un conjunto de librerías o marco de trabajo que nos facilita las cosas cuando tenemos que aprovecharnos de alguna vulnerbilidad desde el navegador. Hoy en día todas las miradas a la hora de fortificar una red se hacen hacia los servidores, pero se deja a un lado el que quizás sea el mayor problema de una empresa en cuestiones de seguridad: el usuario y por lo tanto las aplicaciones que éste usa para acceder a internet: el navegador.
Leer más

Ubuntu Laika, distribución de pen testing para Android

Ya hace algún tiempo hablamos aquí sobre Ribadeo, una distribución Linux basada en Gentoo orientada a la auditoría de seguridad. En esta entrada os introduciremos Laika, una distribución Linux basada esta vez en Ubuntu. En ella podemos encontrar joyas como: nmap wireshark ettercap w3af aireplay-ng dsniff hping3 netcat etc Ésta está basada en la versión 10.10 de Ubuntu. Su autor nos da instrucciones detalladas de instalación. También apunte que este sistema no sustituye o sobreescribe el sistema de tu terminal, sino que conviven en paz y armonía.
Leer más

Breaking_In

Breaking In es una nueva serie (comedia) creada por la Fox sobre una empresa que se dedica a buscar problemas de seguridad y cuya estrategia de marketing es un tanto cuestionable. La serie se emite los Miércoles a las 9:30 EST, (2:30 am del Jueves en España) Enlace oficial
Leer más

Mejora tus habilidades como Pen-Tester

Actualmente no sólo los profesionales que se dedican a hacer auditorías de seguridad de aplicaciones web o redes son los únicos que deberían de conocer al menos las técnicas básicas de penetración (en sistemas informáticos!! mal pensado!) como SQL Injection o Cross Site Scripting (XSS), sino que también los responsables de un proyecto web, deberían tener un conocimiento mínimo sobre estas técnicas. De forma que puedan aplicar ciertos mecanismos de seguridad a sus aplicaciones para evitar que estas sean vulneradas.
Leer más