Despliega tu aplicación web vulnerable en la nube

Cada vez vamos moviéndonos más hacia la nube nos guste o no. Como todo en la vida, tiene sus pros y sus contras. En esta ocasión os vamos a hablar de una plataforma llamada hack.me, que nos permite desplegar nuestras aplicaciones web vulnerables. La idea es crear una aplicación web con ciertas vulnerabilidades, subirlas al servidor y hacerlas públicas o no. Desarrollando aplicaciones vulnerables te ayudará a entender mejor dichas vulnerabilidades, por lo que al mismo tiempo te ayudará a comprender como evitar dichas vulnerabilidades y por lo tanto a escribir código seguro.
Leer más

Nessus para Android

En la web de Tenable Network Security (autores de Nessus), acaban de publicar una entrada donde anuncian la disponibilidad de Nessus para terminales Android, el cual te puedes descargar totalmente gratis desde el android market. Nessus es uno de los escáners de vulnerabilidades más conocidos y usados por profesionales de la seguridad. Entre las características que nos ofrecen esta versión para Android, tenemos: Posibilidad de conectar con un servidor Nesssu 4.
Leer más

¿Encarna?

¿Encarna de noche? Muchos de ustedes no habíais nacido entonces. Gran show de Martes y Trece en 1986. Para aquellos que nunca lo han visto, pueden hacerlo aquí. Bueno lo que quiero comentaros aquí es sobre un fallo de seguridad que hay rondando por ahí y dónde la polémica está servida. Os pongo en situación. El investigador de seguridad Nitesh Dhanjani, ha hecho público lo que según el considera un fallo de seguridad en iOS o más concretamente en Safari, el navegador por defecto de este sistema operativo.
Leer más

Desempolva tu metasploit

Metasploit, para aquellos que no conozcáis este extraordinario proyecto, en pocas palabras, es un repositorio de exploits listo para ser lanzados contra servicios vulnerables. Claro, aquí nos encontramos con el problema de siempre. ¿Cómo probamos ciertos exploits contra un sistema que no disponemos? Metasploit acaba de liberar un proyecto nuevo llamado, metasploitable. Éste es una imagen VMware 6.5 que contiene un sistema Ubuntu 8.04 con ciertos servicios vulnerables los cuales pueden ser explotados usando metasploit.
Leer más

Mejora tus habilidades como Pen-Tester

Actualmente no sólo los profesionales que se dedican a hacer auditorías de seguridad de aplicaciones web o redes son los únicos que deberían de conocer al menos las técnicas básicas de penetración (en sistemas informáticos!! mal pensado!) como SQL Injection o Cross Site Scripting (XSS), sino que también los responsables de un proyecto web, deberían tener un conocimiento mínimo sobre estas técnicas. De forma que puedan aplicar ciertos mecanismos de seguridad a sus aplicaciones para evitar que estas sean vulneradas.
Leer más

Vulnerabilidad en la API de atentificación de Flickr

Como muchos otros servicios de la llamada web 2.0, Flickr también pone a disposición de los desarrolladores su API de programación, para que estos puedan integrar los servicios ofrecidos por esta web en sus aplicaciones. Para poder desarrollar y usar dicha API, el programador tiene que adquirir una clave generada por Flickr para poder autentificarse contra este servicio. Pues bien, en la web de netifera.com han publicado un artículo donde explican como saltarse este sistema de autentificación e incluso acceder a las cuentas de otros usuarios.
Leer más

Vulnerabilidad en Gmail - Google docs

Aditya K Sood ha publicado un documento donde explica como se puede vulnerar GMail - Google Docs a través de documentos PDF. Aunque según parece el problema de seguridad está más bien en el plugin de Adobe para abrir documentos PDF. Según el autor del artículo, a lo más que ha llegado es al robo de datos en la parte del cliente, como son las cookies. Y según comenta el mismo, debido a las restricciones de seguridad que Adobe aplica s su plugin, es difícil llegar a más.
Leer más

Análisis y defensa de vulneabilidades en código binario

Aquí os dejo un vídeo donde hablan del problema de la distribución de parches, especialmente en distintas zonas horarias, de como aprovecharse de esta diferencia de tiempo y de como protegerse.
Leer más

Vulnerabilidad sin parche en Power Point Presentation

Microsoft confirma una vulnerabilidad 0day en su software de presentaciones, Microsoft Power Point Presentation, aunque le quita importancia diciendo que el posible ataque es muy limitiado. El equipo de seguridad de Microsoft, recomienda, mientras no haya parche, abrir sólo ficheros de fuentes de confianza o anima a la utilización del nuevo formato XML en Power Point 2007 que no se encuentra afectado. Más información aquí y aquí.
Leer más