La Comunidad DragonJAR

Twitter esta siendo utilizado como medio de transmisión de un gusano, de momento se desconocen los detalles de estés pero utiliza como medio de difusión una vulnerabilidad CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) en Twitter que permite con solo visitar un enlace, publicar automáticamente 2 twitts en la cuenta de quien lo visita (si este se encuentra logueado).
Leer más…

Gracias a Cristian Borghello me entero que en Devshed.com han publicado una guías paso a paso para asegurar sitios con PHP, las cuales complementan la lista Lista de tareas para revisar la seguridad en proyectos PHP que publicamos en la comunidad hace poco.

Secure PHP Programing y Securing Your PHP Website son un resumen del libro Beginning PHP and Oracle, escrito por W. Jason Gilmore y Bob Bryla y en el que tratan de sobre temas como, la configuración segura de PHP, como asegurar nuestra aplicación en PHP, como validar los datos adecuadamente, entre otras cosas. Leer más…

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones.

Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI. Leer más…

Un estudio realizado por el investigador de seguridad para Qualys y creador de BlindElephant, Patrick Thomas, saco a relucir que la mayoría de los CMS OpenSource que encontramos en la red, tienen un alto grado de problemas en su seguridad, aplicaciones como MediaWiki, Joomla, Movile Type, y Drupal, son solo algunas de las que quedan peor paradas en este aspecto según este informe, también se puede destacar a  WordPress  como el CMS OpenSource mas seguro (o menos inseguro…) que podemos utilizar libremente.

Thomas se puso en la tarea de examinar uno a uno los CMS OpenSource mas populares que existen en la actualidad, utilizando su creación BlindElephant, que le permite identificar con un pequeño margen de error, las versiones de un CMS utilizadas en una pagina, con esta informacion en mano y utilizando los anuncios sobre vulnerabilidades publicados por los mismos fabricantes, pudo sacar un mapa con la versión de cada CMS y sus respectivos problemas de seguridad, dando como resultado un “ranking” de los CMS y su porcentaje de los fallos en seguridad que han presentado. Leer más…

proXPN es un software de VPN (Virtual Private Network por sus siglas en Ingles) gratuito que te permite realizar una conexión segura y anónima entre nosotros e Internet, cifrando la información que recibas o transmitas por ella. Las conexiones de una Red Privada Virtual son como hacer un túnel entre tu computadora y el sitio de conexión. Esta implementación es muy utilizada en empresas que quieren darle seguridad a la información que se maneja entre sus servidores y terminales que están fuera del área de la red local (la red física de la empresa).

Si estamos navegando con proXPN en un lugar publico como un hotel, una universidad, o un café, podremos estar “tranquilos” por que nuestro datos viajan codificados (con 2048 Bits) por medio del túnel que se a creado entre el servidor y nosotros, aunque los datos sean interceptados no podrán hacer nada con ellos ya que estos se encuentran cifrados, puedes hacerte una mejor idea sobre el funcionamiento de proXPN con el siguiente vídeo:

Para utilizar proXPN, basta con descargarlo desde su pagina oficial, instalarlo en nuestro sistema (de momento solo disponible para Windows, Mac OS X e iPhone) seguido de esto basta con iniciar el programa, nos aparecerá un icono en la barra de estado, donde debemos darle en conectar, metemos nuestro datos de acceso (si no tienes cuenta, puedes crearla desde el mismo software) y una vez el icono del proXPN quede en verde, podremos navegar de forma segura y anónima desde donde queramos.

Este software es de gran utilidad ya que no solo codifica y vuelve anónima nuestra conexión, sino que al tener una ip externa estadounidense podremos entrar a distintos sitios en los que las ip’s de este país tienen algún privilegio, por ejemplo megaupload, o pandora (que ahora solo se puede acceder desde usa). En fin una excelente utilidad que ayudara un poco a mantenernos anónimos en la red… que la disfruten.

Descarga proXPN para tu Sistema Operativo

PD. si nos desconectamos y nos volvemos a utilizar obtendremos otra ip de estados unidos totalmente diferente (muy útil para servicios de descargas como rapidshare x ejemplo).

Más Información:
Pagina oficial del proXPN

Hace poco IBM saco una linea de documentos llamados Redbooks, los cuales son documentos de libre acceso que contienen información técnica sobre productos, plataformas y soluciones desarrolladas y publicadas por IBM.

Como parte de esta iniciativa IBM se publico el documento “Cloud Security Guidance”, una guía con recomendaciones sobre como implementar la seguridad en la Cloud Computing y aunque continuamente hacer referencia a productos IBM, no dejan de ser una buena guía para el manejo de la seguridad sin importar que plataforma se utilice. Leer más…

XCampo es un generador de payloads XSS que nos brinda la posibilidad de sacarle mas jugo a una vulnerabilidad de este tipo en un sitio web, después de seleccionar el payload deseado, nos generara el código y seleccionamos si deseamos aplicarle rawurlencode() o quitarle las comillas:

De momento los payloads con los que cuenta la herramienta son: Leer más…

El pasado 18 de Junio de 2010 se realizó en Barcelona, la VI edición del OWASP Spain Chapter Meeting, un evento gratuito en el que varios expertos en temas de seguridad web, se reúnen para hablar sobre los problemas de seguridad en las aplicaciones web.

Este año, la gente de PoisonClub.com.ar, se ha tomado el trabajo de grabar, editar y publicar las charlas en vídeo, para que todos nosotros podamos disfrutar de ellas sin problemas, los dejo entonces con las memorias del VI OWASP Spain Chapter Meeting, espero que lo disfruten. Leer más…

Mucho se ha hablado de HTML 5, que es la evolución lógica del HTML, que reemplazará Flash, que es el futuro, que nos facilitara la vida a los webmasters, que youtube ya tiene su versión en este lenguaje, etc..

Pero no tantos se han puesto a pensar como explotar la seguridad del HTML5  como Alberto Trivero quien ha escrito el documento titulado “Abusing HTML 5 Structured Client-side Storage”, que les dejo a continuación para que tengan en cuenta a la hora de desarrollar nuevos sitios con HTML5. Leer más…