VULNERABILIDADES

    Explotando la corrupción de memoria en arquitectura ARM

    arm.jpg

    Como ya he dicho muchas otras veces, la mejor forma de aprender es practicando (…y enseñando).

    Explotación de vulnerabilidades en general en arquitecturas x86, son bien conocidas y hay documentación por doquier, de forma gratuita online y en libros, pero cuando nos enfrentamos a arquitecturas ARM, la documentación ya no es tan abundante.

    Con el boom de la tecnología móvil y el famoso Internet of things (IoT), la arquitectura ARM está en nuestro día a día y posiblemente interactuemos con ella mucho más de lo que nos imaginemos.

    May 10, 2015
    SeguridadHacking

    Binary Ninja

    disasm.png

    Binary Ninja es un conjunto de herramientas enfocada al análisis y descubrimiento de vulnerabilidades en ficheros binarios.

    Incluye entre otros:

    • Editor hexadecimal
    • Editor de texto
    • Desensamblador (con gráfico de flujo)
    • Terminal integrado
    • Compilador de shellcodes
    La mayor parte del código está escrito en Python, más algúna implementación nativa en C++11. Es multiplataforma y open source bajo GPLv2, a excepción de las librerías de desensamblado que tienen licencia MIT.

    Actualmente hay disponible una versión prototipo, disponible en github.

    Apr 22, 2015
    SeguridadHacking

    Retos BlueHat de Microsoft

    5554.avatar.png-550x0.png

    Inspirado en los retos de cifrado de Matasano, Microsoft ha creado una serie de retos basados en ingeniería inversa, descubrimiento de vulnerabilidades y trucos de manipulación del navegador web a nivel de diseño. Éste último la verdad que no tengo muy claro de que va.

    Los retos están abierto a cualquiera que lo desee. Para participar tienes mandar un email a [email protected] y en el mensaje debes incluir [reverse], [vulns] o [web], dependiendo de a los retos que te quieres suscribir. Si quieres participar en los 3 o en 2 de ellos, debes mandar 3 o 2 emails respectivamente, uno por cada tipo de reto.

    Aug 1, 2013
    HackingSeguridadMicrosoft

    Entorno vulnerable Android

    android-broken.jpg

    Todos o casi todos conocéis OWASP (Open Web Appication Security Project) y además muchos también conocéis WebGoat, una aplicación web escrita en J2EE con errores de seguridad específicos con la cual podemos afinar nuestras habilidades y/o herramientas.

    Pues bien, ahora también tenemos owasp-goatdroid. Un entorno vulnerable escrito totalmente en Java. Actualmente se encuentra en versión beta y sólo disponemos de un servicio web RESTful totalmente funcional, así como una aplicación para probarlo. El servicio web correo sobre un servidor Jetty embebido, por lo tanto no necesitas instalar ningún servidor web. Eso sí, necesitarás MySQL, las SDK de Android y Eclipse.

    Aug 25, 2011
    AndroidSeguridadHacking

    Jugando con los PDF

    pdf

    En la fantástica web:

    S21sec Blog

    hay unos artículos donde se explica cómo un PDF puede hacer varias cosas más de las que pensamos, entre ellas por ejemplo, ejecutar otra aplicación desde el mismo fichero.

    Si quieres saber más sobre el formato, visita este enlace de Adobe.

    Estos son los artículos:

    Introducción al Portable Document Format

    My Hello World PDF

    Acciones en el PDF

    Ejecución de aplicaciones desde un PDF

    Feb 9, 2009
    SeguridadProgramaciónRecursos Informática