Seguridad Web ¿eres parte del problema?

La empresa Cenzic ha elaborado un completo informe detallando las amenazas y los números relacionados con la seguridad Web en 2009. Puedes descargar todo el documento en PDF desde aquí. Voy a intentar hacer un pequeño resúmen con lo más interesante de este fantástico artículo de Smashing Magazine. Voy a mantener en inglés el nombre de los ataques para evitar confusiones, ya que es su terminología habitual. Lo primero es saber que significa URI: Uniform Resource Identifier.
Leer más

Incidentes de seguridad

Muchos son los sitios (telegraph, bbc, etc ) que se han hecho eco de la intrusión de hotmail, donde se publicaron miles de cuentas de usuarios con sus respectivas contraseñas. Pero Microsoft nos ha sido el único afectado, para ser que Amazon también sufrió este fin de semana otro tipo de ataque. En este caso una denegación de servicio distribuida (DDoS) en uno de sus servidores en la nube. Concretamente BitBucket, que se mantuvo unas 19 horas fuera de servicio (theRegister).
Leer más

DVWA

DVWA o Damn Vulnerable Web Application es una aplicación web con ciertas vulnerabilidades creadas a propósito. Es una aplicación ideal para enseñar técnicas de penetración o incluso para nuestra práctica personal. Entre otras, estas son algunas de las vulnerabilidades que puedes encontrar: SQL Injection XSS (Cross Site Scripting) LFI (Local File Inclusion) RFI (Remote File Inclusion) Command Execution Upload Script Login Brute Force Muy importante, no instales esta aplicación en tu hosting o algún otro host público a menos que sepas lo que estás haciendo.
Leer más

Kapersky ¿hacked?

Según aparece en hackersblog.org alguien que se hace llamar Unu, dice haber accedido a la base de datos de unas de las compañías más grandes de antivirus con una simple inyección de código SQL. Según dice el intruso, tuvo acceso a todo tipo de datos, tales como: usuarios, códigos de activación, lista de errores, administradores, tienda, etc. Hasta ahora, Kapersky ni ha confirmado, ni a desmentido la intrusión. Personalmente pienso que una compañía como Kapersky, que se dedica a velar por la seguridad de los usuarios, pueda cometer este tipo de errores, aunque hoy en día no pondría la mano en el fuego nor nadie.
Leer más

La presentación de Chema Alonso en la DefCon

Era sobre: Time-Based Blind SQL Injection using Heavy Queries Aquí puedes ver las diapositivas: Time-Based Blind SQL Injection using Heavy Queries View SlideShare presentation or Upload your own. (tags: parada josé) No dudes en ir a su blog si quieres saber más sobre este tema: http://elladodelmal.blogspot.com/2008/08/marathon-tool.html
Leer más