La Comunidad DragonJAR » Proyectos

Ezine Comunidad DragonJAR Online

DragoN — Sun, 21 Aug 2011 02:32:08 +0000

La revista digital de nuestra comunidad, es uno de los proyectos que mas aceptación ha tenido, no solo se puede ver en el numero de descargas obtenidas por cada edición, sino por la difusión que tienen en la red una vez es publicado.

Hoy al publicar el video de Introducción al análisis de Malware donde hacia referencia a nuestro ezine #4 he notado que muchas personas desconocían de su existencia, entonces para todas estas personas que desconocen la revista de nuestra comunidad, les dejamos los 4 números que hemos publicado hasta el momento para que los visualicen desde su navegador o los descarguen (click en titulo) según sus gustos.

Ezine #1 BETA de La Comunidad DragonJAR

E-zine #2 Comunidad DragonJAR

E-zine #3 Comunidad DragonJAR

E-zine #4 Comunidad DragonJAR

Este año con la ayuda de Seifreed esperamos aumentar la periodicidad con la que publicamos estos números y la calidad de los artículos contenidos en cada uno de ellos, si quieres participar de alguna forma con nuestra revista digital visita este enlace.

También puede interesarte...

Mejora tu seguridad con Patriot en su versión 2.0

Seifreed — Fri, 04 Feb 2011 12:28:16 +0000

Buenas, Soy Seifreed y os traigo una herramienta desarrollada por Yago de Security by Default!, seguramente tenéis a Security by Default en tus feedes, por lo que no será una nueva noticia para vosotros que han sacado la nueva versión de Patriot, que ya se encuentra en la versión 2.0.

¿Que es Patriot?

Patriot es HOST-IDS para Sistemas Windows que busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina donde se encuentra instalado.

¿ Que funciones tiene?

Algunas de sus funciones són:

Ficheros en los directorios ‘Startup’
Nuevos usuarios creados en el sistema
Nuevos servicios
Cambios en el fichero Host
Nuevos trabajos en el ‘Task Scheduler’ de Windows
Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración ..)
Monitorización de la tabla ARP del sistema (prevención de ataques MITM)
Nuevos Drivers cargados en el sistema
Nuevos recursos compartidos NetBios
Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de PortScans …)
Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs …)
Creación de ventanas ocultas (cmd.exe / Internet Explorer mediante objetos OLE)
Conexiones al sistema por NetBios a recursos compartidos
ARPWatch

Además incorpora un módulo de IDS parecido a Snort, para que podamos aplicar las últimas firmas y poder evitar los 0day o últimos exploits, podéis encontrar el relato técnico y explicación aquí.

Security by Default tiene un repositorio de herramientas que podéis consultar aquí, Animaros a probarlo

También puede interesarte...

Flu-Project, troyano Open Source educativo

Seifreed — Mon, 17 Jan 2011 22:35:27 +0000

Hola Dragonautas!, les escribe Seifreed y empezare a colaborar con algunos aportes en la comunidad, espero que sean de su agrado..

Internet nos brinda la oportunidad de participar en muchos proyectos. Yo vengo a presentaros Flu-Project, un proyecto de creación en comunidad de un troyano Open Source. El proyecto es llevado a cabo por Juan Antonio Calles y Pablo González

Flu es un troyano reverso que contiene funcionalidades como:

XML Reader
Process Register
Keylogguer
Console
NAvigation
Check Version

¿Como podemos participar en Flu-Project?

Pues es tan fácil como registrarse en la web y bajarte el código fuente, y cuando aportes una al proyecto comunicarla a la comunidad con tal de poder seguir mejorando la herramienta.

¿Cual es el objetivo de Flu?

El proyecto consiste en el desarrollo de una aplicación para el control remoto de máquinas Windows a través del troyano Flu, orientado a la generación de botnets a través de la tecnología HaaS (Haking as a Service)

¿Bajo que licencia se desarrolla Flu-Project?

Flu Project, es un proyecto Open Source, el cual tiene licenciamiento GPL

Mas Información:
Pagina Oficial del proyecto

También puede interesarte...

DragonJAR TV en vivo mañana

DragoN — Tue, 17 Aug 2010 20:57:39 +0000

Rompo el silencio de tantos días sin escribir, para anunciarles algo que desde hace meses se viene preparando en nuestra comunidad, después de muchos ires y venires, negociaciones con canales de TV colombianos y varios capítulos producidos, decidimos cambiar el formato de nuestro TV Show y hacerlo en vivo para todos los interesados en la seguridad de la información.

La idea del programa, es explicar de forma amena y agradable, algunos temas de seguridad informática, partiendo de los mas básicos para quienes quieren entrar a este mundo y aumentando su complejidad a medida que pasen las semanas; El programa será transmitido cada semana (en un horario aun por definir), pero mañana Miércoles 18 de Agosto a las 8PM GMT -5 (pueden ver la hora colombiana en este sitio) tendremos la primera emisión en vivo, espero que nos acompañen por medio de nuestra pagina www.DragonJAR.tv, las cuentas de Twitter (DragonJARtv, DragonJAR y J_K0) y nos dejen sus comentarios sobre el programa.

Ayúdanos a difundir esta información y seguro que disfrutaremos de un nuevo espacio en la red para hablar sobre seguridad informática.

Visita www.DragonJAR.tv

También puede interesarte...

Creando una antena para redes WIFI

Axiacamus — Tue, 09 Feb 2010 04:18:56 +0000

Uno de los temas mas apasionantes que pueden existir dentro de mi concepto, es el Hacking Hardware, definitivamente las posibilidades son infinitas y más aun si lo enfocamos en un tema especifico, que mejor que hacerlo con las redes inalámbricas también conocidas como redes Wi-fi o Redes 802.11, pero que clase de Hardware podríamos hacer?, sería demasiado complejo tratar de construir nuestro propio Router, o un Access Point, pero no es para nada difícil o por lo menos poco complejo, poder construir nuestra propia Antena para estas redes.

Hay diferentes tipos de antenas, pero básicamente se pueden clasificar en “Direccionales” y “Omnidireccionales”, como sus nombres lo sugieren la diferencia es que su señal puede ser dirigida en una dirección o muchas, esto se logra en base a la forma de la antena que básicamente podrían ser cilíndrica o de forma semi-plana.

Antes de comenzar a construir una antena, debemos tener en cuenta que este proceso puede implicar algunos riesgos, un error en la construcción podría equivocar la frecuencia que queremos emitir y eso invadiría el espacio radioeléctrico, el cual según la ley esta segmentado para uso público y privado, el espacio público para nuestro País Colombia es a una frecuencia de 2.4 GHz, emitir señales en otra frecuencia podría interferir redes privadas o un riesgo aun mucho mayor que sería causar problemas de salud, debido a que estas frecuencias podrían llegar a tener un nivel de radiación muy alto.

Algo de teoría:

Como sabemos las señales de ondas radioeléctricas tienen forma senoidal, significa que aumentan y disminuyen su amplitud de manera cíclica,

Cada ciclo de onda se completa en un tiempo al que llamamos Periodo y la cantidad de veces que se repite este ciclo en un segundo es conocida como frecuencia. En este orden de ideas, tenemos que un ciclo tiene una Longitud de Onda, un Periodo y una Frecuencia, sabemos también que a mayor numero de veces se repita el ciclo significa que mas corto es el Periodo, es decir que a mas corto periodo tendremos una frecuencia mas grande, por lo tanto deducimos que frecuencia y periodo son inversamente proporcionales.

Frecuencia = 1/Periodo

Periodo = 1/Frecuencia

Ahora, por Ecuación de movimiento uniforme sabemos que:

Distancia = velocidad * tiempo

Deducimos que la longitud de onda es :

Longitud = velocidad * Periodo

Como sabemos la velocidad con que se desplazan las señales radioeléctricas es la velocidad de la luz, es decir 300.000 Kilómetros por segundo, por lo tanto

Longitud de Onda = Periodo * 300.000.000 m/s

Teniendo en cuenta que Frecuencia es inversa a Periodo podríamos deducir que:

Longitud de Onda = (1/Frecuencia) * 300.000.000 m/s

Lo que es igual a:

Longitud de Onda = Frecuencia / 300.000.000 m/s

Como sabemos que la frecuencia pública es de 2.4 GHz entonces podemos reemplazar así:

Longitud de Onda = 2.400.000.000Hz / 300.000.000m/s

Longitud de Onda = 0.124378 Metros = 12,4378 centímetros

Construyendo la antena

La antena casera más común y habitual corresponde a una antena guía-ondas con una lata. La cual fue desarrollada por Gregory Rehm (www.turnpoint.net) del Bellingham Techical College.

“Esta antena consiste básicamente en un cilindro cerrado por un extremo en el que se le coloca el conector en el que termina el cable de la antena. Como cilindro cerrado puede utilizarse una lata de comestible (lata de aceitunas), un tubo de aire acondicionado o fabricarlo directamente. Lo importante es que tenga un diámetro de entre 9 y 11 cm (interior) y que las paredes sean lisas. Lo que se consigue es una antena direccional con una mayor ganancia que la antena omnidireccional que viene incluida en la mayoría de equipos wireless” (Cita del libro WiFI, Instalación, seguridad y aplicaciones, Editorial AlfaOmega, Pag 184).

La longitud de la lata, es equivalente a ¾ de la longitud de onda, si la lata es de longitud menor, no será útil para el propósito y si es mayor deberemos recortarla tratando siempre de ser lo más precisos posible.

La Posición donde ira el conector para la antena deberá estar a ¼ de la longitud de Onda como podemos verlo en la siguiente grafica:

Teniendo en cuenta la distancia hacemos el orificio a ¼ de la longitud de onda partiendo desde la parte de la lata que esta cerrada y a continuación deberemos usar un conector tipo N Hembra, , teniendo todo este montaje listo, pasaríamos a decidir si compramos un Pigtail (cable pequeño, que lleva dos conectores, su función es la de adaptar la antena o el cable que vaya a ésta con el adaptador Wifi o Punto de acceso) o construimos uno propio para poder conectar nuestra antena a una tarjeta de WiFI, al conector tipo N , deberemos Soldar un hilo de cobre de aproximadamente 30 milímetros de longitud, es necesario que esta unión sea “soldada” para un mejor acabado de la Antena.

Para una mejor Ilustración de la construcción de la antena, dejo este vídeo hecho por unos estudiantes Universitarios del Putumayo, quienes construyen su antena paso a paso.

Mas Información:
Recopilatorio de antenas caseras.

También puede interesarte...

E-zine #4 Comunidad DragonJAR

DragoN — Tue, 06 Oct 2009 19:22:59 +0000

Después de mucho tiempo y trabajo podemos presentar una nueva edición de la revista electrónica de La Comunidad DragonJAR como regalo de cumpleaños para todos nuestros miembros y visitantes.

En esta edición de la revista encontraras artículos en los que aprenderás desde codificar y decodificar con Base64 utilizando solo lápiz, papel y calculadora en, aprenderemos a aprovechar el WebMin, tendremos un resumen de la participación de nuestra comunidad en la campus party, hablaremos de la ISO 27001 y realizaremos paso a paso un análisis básico de malware en Windows (articulo ganador del segundo puesto en el concurso latinoamericano de seguridad antivirus de eset), todo esto enmarcado en el estupendo diseño creado por blue_reckiem para esta edición.

Hay que destacar el trabajo de todas las personas que participaron directa o indirectamente para que esta edición de la revista saliera al aire, especialmente a:

Blue_Reckiem – Diseñador
Hernandgr – Editor
Skorpyo – Editor
Spiderman – Editor
Epsilon – Director

Y a los creadores de los artículos que publicamos en la edición #4 de la eZine DragonJAR:

Seifreed – Aprovechando WebMin
Hecky – Base64 en lapiz papel y calculadora
Spiderman – Columna de Opinion
DragoN – Analisis Basico de Malware
SamuraiBlanco – Campus Party 2009
Vitoya04 – ISO 27001 una Vision General

DESCARGAR EZINE #4 DE LA COMUNIDAD DRAGONJAR

Los anteriores números de la revista los encuentras en:

E-zine #3 Comunidad DragonJAR
E-zine #2 Comunidad DragonJAR
Ezine #1 BETA de La Comunidad DragonJAR

También puede interesarte...

5 Distribuciones GNU/Linux para Pentesting

Cortex — Tue, 09 Jun 2009 18:21:32 +0000

Para nadie es un secreto que a menudo las distribuciones GNU/Linux sean preferidas por los pentesters para llevar acabo auditorías. Y no es que desde otros sistemas operativos no sea posible, sino que generalmente las distros vienen mejor equipadas debido a que se puede, usando una ya creada, personalizarla hasta el punto que nosotros queramos permitiendo añadirle/quitarle las aplicaciones que queramos, modificar la configuración, añadirle módulos y mucho más. Además si le agregamos el hecho de poder ejecutar todo desde un CD sin necesidad de instalar nada en el disco, la balanza se inclinaría aún más hacia el lado Linux. De cualquier manera, como resalté antes también hay muchísimas herramientas disponibles por ejemplo para Windows que facilitan el trabajo a la hora de una auditoría.

En este post vamos a enfocarnos en el repaso de algunas de las mejores distribuciones enfocadas a la Seguridad Informática.

1. BackTrack

Sería algo imposible escribir una lista de distribuciones enfocadas a la Seguridad sin hacer mención de Backtrack. Si eres lector asiduo del blog seguramente ya la conoces, 4v4t4r ha realizado muchos laboratorios haciendo uso de esta distro. La última versión disponible (a la hora de escribir el artículo) es la 4 BETA. Con más de 300 herramientas que la convierte en la distribución preferida por los pentesters. Actualmente basada en Debian/Ubuntu con unos amplios repositorios que permiten extender aún más su funcionalidad. Tanto en este blog como en el de los Laboratorios DragonJAR encontrarás mucha información sobre el uso de esta distribución.

Descargar Backtrack

2. nUbuntu (Network Ubuntu)

Como su nombre lo indica basada en Ubuntu Linux y usa el escritorio Fluxbox. Su objetivo es tener una distribución Linux basada en Ubuntu, personalizada, agregando las herramientas necesarias para realizar pruebas de penetración en servidores y redes; eliminando también aplicaciones que no sean necesarias para este propósito.

Descargar nUbuntu

3. OWASP Live CD

Es una Live-CD que reune algunas de las mejores herramientas open source de seguridad en un sólo lugar. Contiene también documentación y ambientes interactivos de aprendizaje (como WebGoat) promoviendo así la educación en el campo de la Seguridad Web. Para quienes no lo sabía OWASP (acrónimo de Open Web Application Security Project) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. En el blog encontrarás mucha información sobre este proyecto.

Descargar OWASP Live CD

4. Samurai Web Testing Framework

Distribución Live preconfigurada para el pentesting de aplicaciones Web. Incluye muchas herramientas que permiten llevar a cabo fácilmente los 4 pasos básicos en un test de penetración web: Reconocimiento, Mapeo, Descubrimiento, Explotación. Además incluye una Wiki que permite almacenar la información recolectada durante el pentesting. En el blog encuentras más información sobre esta Live-CD.

Descargar Samurai Web Testing Framework

5. Network Security Toolkit

Basada en Fedora, actualmente se encuentra en la versión 1.8.1. Su objetivo es proveer a los administradores de red un completo set de herramientas de seguridad open source. Contiene una gran parte de la lista de las 100 mejores herramientas de seguridad creada por Insecure. Lo fascinante es que permite convertir un PC cualquiera en un sistema diseñado para el análisis de tráfico de red, IDS, monitor de redes inalámbricas, entre otros usos. También util en muchos escenarios para la recuperación de daños.

Descargar NST

Hay muchas distribuciones Linux enfocadas a las auditorías de seguridad, no las menciono en el post debido a que muchas de ellas ya han sido abandonada por sus desarrolladores y no volvieron a lanzar ninguna actualización ni versiones nuevas. De cualquier manera, si interesa conocer algunas de ellas aquí tienes una lista:

Pentoo
Knoppix STD
Notably Auditor
Phlak

Por nombrar algunas… Y tu, ¿Que otra distribución usas para este propósito?

También puede interesarte...

E-zine #3 Comunidad DragonJAR

DragoN — Thu, 25 Dec 2008 00:41:53 +0000

Después de mucho tiempo y trabajo podemos presentar una nueva edición de la revista electrónica de La Comunidad DragonJAR como regalo de navidad para todos nuestros miembros y visitantes.

En esta edición de la revista encontraras artículos en los que aprenderás desde envenenamiento de arp creando manualmente los paquetes con scapy, pasando por artículos de informatica forense, hacking ético, entornos virtualizados y nuevas secciones que se incorporan en este nuevo numero, todo esto enmarcado en el estupendo diseño creado por blue_reckiem para esta edición.

Hay que destacar el trabajo de todas las personas que participaron directa o indirectamente para que esta edición de la revista saliera al aire, especialmente a:

Blue_Reckiem – Diseñador
Hernandgr – Editor
Skorpyo – Editor
Spiderman – Editor
Epsilon – Director

Y a los creadores de los artículos que publicamos en la edición #3 de la eZine DragonJAR:

Versace123mx – Como instalar un servidor
Mirphak – Envenenamiento ARP
Spiderman – La tel-araña binaria (Columna)
Dino – Hacking Etico
Warriorhood – Informatica forense
Spiderman -Entornos virtualizados

DESCARGAR EZINE #3 DE LA COMUNIDAD DRAGONJAR

Si no te incomoda el tamaño puedes descargar esta edicion con calidad de imagen superior.

DESCARGAR EZINE #3 DE LA COMUNIDAD DRAGONJAR (Calidad Alta)

Los anteriores números de la revista los encuentras en:
E-zine #2 Comunidad DragonJAR
Ezine #1 BETA de La Comunidad DragonJAR

También puede interesarte...

Proyectos OWASP en español

4v4t4r — Sat, 20 Sep 2008 20:17:07 +0000

Hace algunos días estaba realizando una instalación del sistema Linux Mint en mi Laptop, como de costumbre en cada reinstalación, incluyo las herramientas del proyectos OWASP (WebGoat, Pantera, WebScarab, etc.). Esta vez he sabido encontrarme con una agradable noticia, pues la mayoría de los proyetos OWASP contaba con su enlace correspondiente a la definición del mismo en idioma español.

Antes de continuar debo aclarar el concepto de OWASP para las personas que no estén familiarizadas con este espectacular proyecto (aunque ya he publicado varios recursos en la Web y el foro, ej. Guía de pruebas OWASP y F.A.Q de seguridad en aplicaciones Web -OWASP-), veamos entonces la descripción del proyecto desde la Wikipedia:

OWASP (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto de seguridad de aplicaciones web abiertas’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

Los siguientes son algunos de los proyectos que se encuentran traducidos al español:

OWASP AntiSamy

El proyecto OWASP AntiSamy es unas cuantas cosas. Técnicamente, es una API para asegurarse que las entradas HTML/CSS del usuario estén en cumplimiento con las reglas de la aplicación. Otra forma de decirlo podría ser: es una API que le ayuda a asegurarse que los clientes no provean código malicioso en el HTML que proveen para su perfil, comentarios, etc. Que se quedan almacenados en el servidor. El termino código malicioso en términos de aplicaciones Web es generalmente relacionado solo con JavaScript. Hojas de estilo en cascada (CSS) son solo consideradas maliciosas cuando invocan a JavaScript. Sin embargo, hay muchas situaciones donde HTML y CSS “normales” pueden ser usados de una forma maliciosa.

Filosóficamente, AntiSamy es una desviación de todos los mecanismos contemporáneos de seguridad. Generalmente, los mecanismos de seguridad y los usuarios tienen una comunicación que es virtualmente de una vía, por una buena razón. Dejar al atacante potencial saber detalles acerca de la validación no se considera prudente, ya que permite que al atacante “aprenda” y “reconstruya” el mecanismo para debilidad. Estos tipos de fuga de información pueden también dañar en formas que usted no espera. Un mecanismo de ingreso que le dice al usuario, “Usuario invalido” revela el hecho de que un usuario con ese nombre no existe. Un usuario podría usar un diccionario o directorio telefónico o ambos para obtener remotamente una lista de usuarios validos. Usando esta información, un atacante podría lanzar un ataque de fuerza bruta o negación de servicio masivo de bloqueo de cuentas.

Más información sobre OWASP AntiSamy

————————————————————————————

OWASP CAL9000

CAL9000 es una colección de herramientas de prueba de seguridad de aplicaciones web que complementan el conjunto de web proxies y escáners automáticos actuales. CAL9000 le da la flexibilidad y funcionalidad que necesita para aumentar la eficacia de las pruebas manuales. Funciona mejor cuando se usa con Firefox o Internet Explorer.

CAL9000 esta escrito en JavaScript, así que usted tiene completo acceso al código fuente. Siéntase libre de modificarlo para que se adapte mejor a sus necesidades particulares. CAL9000 tiene algunas características poderosas (como ejecutar cross-domain xmlHttpRequests y escribir a disco). Esta diseñado a propósito para hacer algunas cosas horriblemente inseguras. Por lo tanto, quisiera alentar firmemente que únicamente lo corra localmente y NO fuera de un servidor.

Más información sobre OWASP CAL9000

————————————————————————————

OWASP CLASP

CLASP (Proceso de seguridad en aplicación completo y ligero) proporciona un enfoque bien organizado y estructurado para mover las inquietudes de seguridad a las fases iniciales del ciclo de vida de desarrollo de software, cuando esto sea posible.

CLASP es en realidad un conjunto de piezas de proceso que puede ser integrado en cualquier proceso de desarrollo de software. Esta diseñado para ser fácil de adoptar y efectivo a la vez. Toma un enfoque prescriptivo, documentando las actividades que las organizaciones debería estar haciendo. Y proporciona una amplia riqueza de recursos de seguridad que hacen razonable implementar esas actividades.

Más información sobre OWASP CLASP

————————————————————————————

OWASP DirBuster

DirBuster es una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por omisión no lo es, y tiene paginas y aplicaciones ocultas. DirBuster trata de encontrar estos.

Sin embargo, las herramientas de esta naturaleza a menudo son solo tan buenas como la lista de archivos y directorios con los que vienen. Un enfoque diferente fue usado para generar esto. La lista fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores! DirBuster viene con un total de 0 listas diferentes (Mas información puede ser encontrada mas adelante), esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y si eso no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta pura, lo que no les deja lugar para esconderse a los archivos y directorios ocultos! Si tiene el tiempo

Más información sobre OWASP DirBuster

————————————————————————————

OWASP Encoding

Las aplicaciones web enfrentan un gran numero de amenazas; una de ellas es cross-site scripting y ataques de inyección relacionados. El 90% de todas las aplicaciones web contiene ataques de cross-site scripting porque son fáciles de introducir, y las herramientas adecuadas no están siempre disponibles para prevenirlos. La biblioteca Reform proporciona un conjunto sólido de funciones para codificar la salida para los objetivos de contexto mas comunes en aplicaciones web (por ejemplo: HTML, XML, JavaScript, etc.). La biblioteca también tiene una opinión conservadora de cuales son los caracteres permitidos basado en vulnerabilidades históricas y técnicas actuales de inyección.

Más información sobre OWASP Encoding

————————————————————————————

OWASP Enterprise Security API

La ESAPI es una colección gratis y abierta de todos los métodos de seguridad que un desarrollador necesita para construir una aplicación Web segura. Usted puede user solo las interfases y construir su propia implementación usando la infraestructura de su compañía. O, puede user la implementación de referencia como un punto de inicio. En concepto, la API es independiente del lenguaje. Sin embargo, los primeros entregables del proyecto son una API Java y una referencia de implementación Java. Esfuerzos para construir ESAPI en .NET y PHP están en marcha.

Desafortunadamente, las plataformas disponibles, y herramientas (Java EE, Struts, Spring, etc…) simplemente no proporcionan protección suficiente. Esto deja a los desarrolladores con la responsabilidad de diseñar y construir mecanismos de seguridad. Este reinventado de la rueda para cada aplicación lleva a una perdida de tiempo y agujeros de seguridad masivos.

Más información sobre OWASP Enterprise Security API

————————————————————————————

OWASP Insecure Web App

InsecureWebApp es una aplicación que incluye vulnerabilidades comunes en aplicaciones Web. Es un objetivo de pruebas de penetración automatizadas y manuales, análisis de código fuente, evaluaciones de vulnerabilidades y modelado de amenazas.

InsecureWebApp es ante todo una ayuda para desafiar y mejorar las habilidades de diseño y codificación segura. Arquitectos y desarrolladores necesitan aprender a identificar las vulnerabilidades en una aplicación Web real. Los objetivos de esta herramienta son de tres tipos: 1) demostrar lo peligrosas que pueden ser la vulnerabilidades de las aplicaciones, 2) cerrar la brecha que existe entre la teoría de seguridad en aplicaciones y la código que realmente se esta diseñando y escribiendo, 3) aprender como estas vulnerabilidades pueden ser arregladas.

Más información sobre OWASP Insecure Web App

————————————————————————————

OWASP LAPSE

LAPSE significa Análisis Ligero para Seguridad en Programas en Eclipse (Lightweight Analysis for Program Security in Eclipse). LAPSE esta diseñado para ayudar con la tarea de auditar aplicaciones Java J2EE para tipos comunes de vulnerabilidades encontradas en aplicaciones web. LAPSE fue desarrollado por Benjamin Livshits como parte del Griffin Software Security Project.

Más información sobre OWASP LAPSE

————————————————————————————

OWASP Live CD

El LiveCD de OWASP (LabRat) es un CD de arranque (bootable) similar a knoppix pero dedicado a seguridad de aplicaciones. Servirá como un vehiculo y medio de distribución para las herramientas y guías de OWASP.

La versión 2 del LiveCD de OWASP esta enfocada en las herramientas y documentación de OWASP. La estructura del menú ha sido construida en torno a los tres (3) niveles de estado de los proyectos de OWASP (Releases, Alpha y Beta). Cada área ha sido separada en documentos y herramientas (Doc y Tools) para hacer mas simples las actualizaciones. Las paginas Wiki ahora están ligadas para cada herramienta y documento de OWASP.

Más información sobre OWASP LiveCD

————————————————————————————

OWASP Pantera Web Assessment Studio

Pantera usa una versión mejorada de SpikeProxy para proporcionar una poderosa maquina de análisis de aplicaciones Web

El objetivo principal de Pantera es combinar las capacidades automáticas con pruebas manuales completas para obtener los mejores resultados de pruebas de intrusión.

Más información sobre OWASP Pantera Web Assessment Studio

————————————————————————————

OWASP SQLiX

SQLiX, programado en Perl, es un scanner de inyección SQL, capaz de rastrear, detectar inyecciones SQL, identificar el tipo de base de datos y obtener resultados UDF o de llamadas de función (inclusive ejecutar comandos del sistema para MS-SQL). Los conceptos en uso son diferentes a los usados en otros scanners de inyección SQL. SQLiX es capaz de encontrar inyección SQL normal y a ciegas y no necesita hacer ingeniería inversa a la petición SQL original.

Más información sobre OWASP SQLiX

————————————————————————————

OWASP Validation

La mayoría de las plataformas de aplicaciones Web no incluyen características para validar entradas del usuario. Esto deja a muchas organizaciones a crear sus propios mecanismos de validación, normalmente incompletos, defectuosos e ineficientes.

El Proyecto de Validación de OWASP fue creado para proveer guía y herramientas relacionadas a la validación. Nuestra filosofía es que la validación es requerida para cada petición HTTP, incluyendo cabeceras, cadenas, cookies, formas, campos y campos ocultos.

Más información sobre OWASP Validation

————————————————————————————

OWASP WSFuzzer

WSFuzzer es un programa LGPL, escrito en Python, que actualmente apunta hacia Web Services. En la versión actual los servicios SOAP basados en http son el principal objetivo. Esta herramienta fue creada basada en, y para automatizar, el trabajo de pruebas de intrusión manual para SOAP en el mundo real. Esta herramienta NO esta destinada para ser un reemplazo del análisis humano manual sólido. Por favor vea a WSFuzzer como una herramienta para aumentar el análisis realizado por profesionales reconocidos y competentes. Los servicios Web no son de naturaleza trivial así que la experiencia en esta área es necesaria para las correctas pruebas de intrusión.

Más información sobre OWASP WSFuzzer

————————————————————————————

Página oficial del Proyecto OWASP

He habilitado un subforo de disucusión sobre los diferentes Proyectos OWASP

También puede interesarte...

Convocatoria Ezine DragonJAR # 3

4v4t4r — Tue, 19 Aug 2008 01:07:42 +0000

Desde hace largo tiempo algunos usuarios trabajamos muy duro y de forma constante para que este proyecto, el cual en muchas ocasiones, se quedo solo en palabras, saliera adelante.

Allí fue cuando salió La Ezine DragonJAR #1, esta, tuvo mucha acogida en toda la red, y fue descargada más de 3300 veces, obviamente tenía errores por que era nuestro primer paso en el mundo de las revistas electrónicas.

Despues de este “éxito” por decirlo así, muchos usuarios de la comunidad, e incluso los admin, se unieron a este bonito proyecto, y como había tanto material se hizo un concurso para que personas expertas calificaran los artículos más valiosos y estos serían premiados con una USB. Después de esto sale este número de la revista, con un poco más de seriedad, y con contenidos filtrados por personas expertas, que se podía decir de forma clara que eran los mejores artículos de nuestra comunidad. Este número también se ha bajado mas de 1000 veces, en muy poco tiempo.

Ahora es nuestro derecho sacar la mejor revista digital de nuestra comunidad, por varias razones. La primera es para demostrar que nuestra comunidad no ha muerto, por el contrario ha surgido con mucha más fuerza. La segunda es por que ya estamos organizados y tenemos un excelente grupo de trabajo. La tercera es por que se corregirán todos los errores de números anteriores.

Es por estas razones y muchas más que quiero INVITAR A TODOS LOS USUARIOS DE LA COMUNIDAD DRAGONJAR a que se unan a este grandioso proyecto escribiendo sus artículos y que compartan todos sus conocimientos. Como todos saben la comunidad se enfoca hacia la seguridad informática, es por esto que los artículos deben ser de este tipo, algo muy importante es que deben ser artículos propios, ya que debemos ser auténticos. Se recojeran articulos hasta el día 20 de septiembre y cualquier usuario puede participar, pueden enviar los articulos al correo epsilon77@gmail.com allí los leeremos y los editaremos.

Espero que mucha gente nos apoye y mande su artículo, este debe ser en formato texto y si trae imágenes estas deben ser anexadas. Necesitamos calidad y conocimiento y estoy seguro que eso sobra en nuestra comunidad.

Gracias por la atención
saludos

Att:Epsilon
Director Ezine Comunidad DragonJAR
epsilon77@gmail.com
www.epsilonblog.net