OWASP Testing Guide 4.0 en Español
Mar28

OWASP Testing Guide 4.0 en Español

En  Septiembre del año 2014 se lanzó la última guía para pruebas de OWASP, llamada “OWASP Testing Guide v4“, hasta el dia de hoy no existia una version en español de este documento, pero gracias al trabajo de los ecuatorianos Fernando Vela y Roberto Andrade de la Escuela Politecnica Nacional, quien nos compartieron este documento, podemos anunciar en primicia mundial un pre-release de esta guía en nuestro idioma. Así es, ya puedes descargar la OWASP Testing Guide 4.0 en Español en su version casi final, un manual de referencia con vulnerabilidades, contramedidas y una completa metodología para la revisión y evaluación del estado de seguridad de nuestras aplicaciones web. El documento esta dividido por algunas tematicas principales como: Introducción (acerca del proyecto guia de pruebas de OWASP y el proyecto OWASP como tal) Marco refrencial al framework de pruebas de OWASP Pruebas de seguridad de aplicaciones WEB Introducción y objetivos Pruebas para gestionar la configuración y la implementación Pruebas de Administración de Identidad Pruebas de autenticación Pruebas de autorización Pruebas de administración de sesión Pruebas de validación de entradas Pruebas de manejo de errores Pruebas para Critografía débil Prueba de la lógica del negocio Pruebas en el lado del cliente Apéndice Apéndice A: Herramientas de prueba Apéndice B: Lecturas sugeridas Apéndice C: Vectores Fuzz Apéndice D: Inyección codificada La finalidad de la publicacion de este borrador es solicitar apoyo en la detección y corrección de errores antes de que el documento sea oficialmente integrado al proyecto OWASP, si encuentras problemas de traducción por favor notificar a estos correos Fernando Vela ([email protected] y Roberto Andrade ([email protected]), especificando la pagina y el parrafo donde se encontró el error. Te dejamos entonces con la Guia de Pruebas de OWASP 4.0 en ESPAÑOL (OWASP Testing Guide 4.0), tanto para visualizarla online: Como para descargarla, siguiendo este enlace para que puedas bajar el PDF en español. Descargar la Guia de Pruebas de OWASP 4.0 en...

Leer Más
OWASP Latam Tour 2017 – Capítulo Manizales
Mar14

OWASP Latam Tour 2017 – Capítulo Manizales

El Capítulo OWASP Manizales se complace en anunciar que inicia actividades participando del OWASP Latam Tour de 2017 este lunes 3 de Abril. Si no estás familiariz@ con el OWASP Latam Tour, es una gira por Latino América organizada por OWASP (Open Web Application Security Project) que pretende promover la seguridad de aplicaciones móviles y web en universidades, organismos gubernamentales, empresas de TI, entidades financieras y el público en general. Este proyecto lleva ya algunos años realizándose en nuestro continente con mucho éxito y pone a disposición de los interesados en temas de seguridad informática, charlas de gran nivel y totalmente gratuitas con muchos de los profesionales de seguridad más reconocidos de la región. Ya está confirmada nuestra programación, te esperamos este Lunes 3 de Abril desde las 9:00 AM en La Universidad de Manizales, auditorio 323. 9:00 am – 10:00 am Jaime Restrepo (Manizales) – Introducción al capítulo OWASP Manizales 10:00 am – 11:00 am Santiago Bernal (Pereira) – Sorpresas de la seguridad informática 11:00 am – 11:30 am Break 11:30 am – 12:30 pm Jose Pino (Neiva) – QEA: Quorum Encrypted Advanced 12:30 pm – 2:00 pm Almuerzo Libre 2:00 pm – 3:00 pm Diego Gonzales (Manizales) – Seguridad en redes Smartgrid 3:00 pm – 4:00 pm Jacobo Tibaquira (Manizales) – Nsearch, lo que le faltaba a nmap 4:00 pm – 4:30 pm Break 4:30 pm – 5:30 pm Juan Castro (Barranquilla) – Hackeando APIs REST 5:30 pm – 6:30 pm John Vargas (Lima, Perú) – Web Application Security Testing the OWASP Style Registrate para participar del evento pre-inscribete en este enlace, tenemos un cupo limitado para 100 personas y no querrás perderte este excelente evento...

Leer Más
Curso Gratuito ONLINE, de Introducción a Metasploit
Mar08

Curso Gratuito ONLINE, de Introducción a Metasploit

Como lo prometimos en la introducción a pentesting, iniciaremos una serie de webinarios gratuitos online, de diferentes herramientas muy usadas por los profesionales de la seguridad informática.   En esta oportunidad te invitamos al webinario que tendremos el próximo martes 7 de marzo 8 de Marzo a las 7:30 hora Colombia (GMT -5) 2017 de Introducción a Metasploit, en el podremos ver desde cómo está compuesto el framework, conceptos fundamentales para el uso adecuado de la herramienta, demostraciones de los diferentes usos que le podemos dar más allá del típico lanzamiento de exploits. Si te perdiste la transmisión en vivo ya esta disponible la grabación: Si te ha gustado lo que compartimos gratis contigo, no te alcanzas a imaginar lo que tenemos preparado para ti en nuestro Diplomado de Seguridad Informática Ofensiva....

Leer Más
Auditando la seguridad de los juguetes inteligentes
Mar02

Auditando la seguridad de los juguetes inteligentes

Cómo algunos podrán saber, hace ya 2 años soy padre de una hermosa niña, una de las causantes (junto con la creación de la empresa) que cada vez escriba menos en el blog, pero una gran alegría en mi vida, que a su vez hace que me fije en cosas a las que no les ponía tanto cuidado antes de su nacimiento, como a la seguridad de los monitores de bebés (antes de comprar uno) o de los juguetes interactivos, de lo que les quiero hablar hoy. Todo empieza cuando estábamos de vacaciones y decidí entrar a una juguetería con mi esposa y mi hija, estábamos viendo los productos, cuando pasó lo inevitable… la pequeña se enamoró de una muñeca; A simple vista la muñeca parecía normal, me puse a mirar la caja para cuestionarme la compra y me llamó la atención una etiqueta que decía, “I’ll call you, Just download the APP” algo así como “Te llamaré, Solo descarga la APP”, la muñeca era la Gabby Chatsters Interactive Doll y en ese momento no se la compramos porque era para niñas de más de 5 años y sus frases estaban todas en inglés, pero tomé nota de la aplicación para examinarla después. Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento. Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón “privacy policy” de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los estados unidos y que podrán cambiar las políticas de privacidad cuando les dé la gana quieran. Luego de ver que el Internet se usaba...

Leer Más
Call for Papers abierto para el DragonJAR Security Conference 2017
Feb16

Call for Papers abierto para el DragonJAR Security Conference 2017

DragonJAR Security Conference, es la conferencia de seguridad informática que nace de La Comunidad DragonJAR y en los últimos años ha sabido ganarse un espacio en Latinoamérica como uno de los mejores eventos de seguridad informática, HOY queremos anunciar el lanzamiento de nuestro Call for Papers para la 4ta edición del evento que se realizará el 16 y 17 de Septiembre en la Ciudad de Bogotá, Colombia. Si eres investigador/a en seguridad y quieres mostrar tu trabajo ante una gran audiencia, el DragonJAR Security Conference es la plataforma que necesitabas para hacerlo. Para enviar tu paper al DragonJAR Security Conference necesitas: Pre-inscribirse en el sitio general de inscripción (Cumpliendo todos los requisitos expuestos en él) Plazo Máximo para recepción de conferencias: 8 de Mayo de 2017 Fecha en la que anunciamos los papers aceptados 12 de Mayo de 2017 EL correo de contacto académico al cual enviara sus dudas es [email protected] Cualquier inquietud igualmente no dude en contactarnos. En caso que su ponencia sea aceptada el comité académico se pondrá en contacto con Usted y le indicara los pasos a seguir, puede existir un grupo de conferencias que al no ser seleccionadas pueden pasar a ser pre-seleccionadas, dado el caso que algunas de las ponencias seleccionadas presenten algún inconveniente un mes antes del evento estas tomaran el lugar. Animamos a la comunidad de la Seguridad Informática a enviar sus valiosos aportes y participar en el DragonJAR Security Conference, el Evento Internacional más importante del...

Leer Más
DEFT (Digital Evidence & Forensic Toolkit)
Feb14

DEFT (Digital Evidence & Forensic Toolkit)

DEFT (Digital Evidence & Forensic Toolkit) es una distribución Live CD (booteable desde el CD) basada en Lubuntu, muy fácil de usar, con un grandísimo listado de herramientas forenses y con una excelente detección del hardware. DEFT es una de las distribuciones de análisis forense que más han avanzado en estos últimos años (personalmente me parece muy superior a CAINE), no solo han añadido una gran cantidad de herramientas forenses a su lista, sino que se han sabido adaptarse a su entorno y emular las características de otras distribuciones similares CAINE de donde se han inspirados para sacar el DART. DEFT (Digital Evidence & Forensic Toolkit) está dividida en dos, su entorno y herramientas booteables que recogen lo mejor del software libre para el análisis forense y DART, una recopilación de herramientas para el análisis y la extracción de evidencia en entornos Windows, bastante organizadas y totalmente portables.   En DEFT podemos extraer evidencia de todo tipo de equipos de cómputo, ya que soporta tanto UEFI como Secure Boot, también tiene un modo tipo texto que permite correrlo en equipos con pocos recursos, pero también incluye un modo de carga total en la RAM para poder usar la unidad de DVD del equipo. Al ser un proyecto pensado inicialmente para enseñar análisis forense en la Universidad di Bologna, DEFT esta muy bien documentado, el único problema de esta documentación es que está totalmente en italiano, pero con muchas gráficas y fácilmente entendible (DEFT Zero – Quick Guide [ENG] – IT – manuale completo – IT – manuale senza le appendici) Si te dedicas al analisis forense digital, DEFT es esa distribucion Live CD que no puede faltar en tu caja de herramientas.. Descargar la última versión de DEFT Más Información: Pagina oficial de DEFT (Digital Evidence & Forensic...

Leer Más