Documentación y herramienta para inyección de código

Las inyecciones de código son las vulnerabilidades mas comunes encontradas en las aplicaciones web, estos problemas de seguridad llevan muchos años con nosotros, pero son tan recurrentes que por muchos años han ocupado el primer puesto en el TOP 10 Fallos de Seguridad en Aplicaciones Web que realiza OWASP. En esta ocasión les traigo dos aportes relacionados con este tipo de inyecciones, el primero es un documento escrito por Lod Epsylon, donde nos explica diferentes técnicas de inyección de código como XSS,XSF,CSRF,XFS,XZS,XAS,XRS y XSSDoS entre otras. Descargar Documento El segundo aporte es un framework llamado XSSer para automatizar las inyecciones de código que detallan en el documento, fué creado tambien por Lod Epsylon y entre sus principales funciones se encuentran: Automatización de inyección de código Evasión de filtros Carga de payloads para distintos navegadores Interface grafica y por linea de comandos Buena documentación Los dejo en compañía de un video explicativo de XSSer Para mas información: Pagina oficial del XSSer y la...

Leer Más

¿Cómo aprender a programar en JavaScript?

Gracias al cyberhades me entero de un curso en vídeo que esta realizando la pagina LifeHacker, para aprender a programar en JavaScript. El curso de momento tiene 4 entregas, cada una de ellas consta de un vídeo y un articulo con material de apoyo para el vídeo, esta en ingles pero es bastante practico y fácil de seguir. Si estas interesad@ en aprender JavaScript, no puedes dejar de ver estos recursos que LifeHacker deja para ti sin ningún costo: Clase 1 – Variables y tipos de datos básicos Clase 2 – Trabajando con variables Clase 3 – Arreglos y declaraciones lógicas Clase 4 – Entendiendo las funciones y creando un juego de preguntas Epilogo – Mejores practicas y recursos adicionales Hace mucho que JavaScript dejo de ser ese lenguaje que todos conocimos con animaciones de ventanas y simples validaciones de cara al cliente, para convertirse en un poderoso lenguaje con el que es posible ahora escribir programas en red escalables, aumentar su poder con librerías y frameworks, por lo tanto es muy recomendable aprenderlo si deseas seguir tu camino por el mundo de la seguridad, en especial de la seguridad...

Leer Más

El curso de Criptografía y Ofuscación de Yury Lifshits

Yury Lifshits el conocido matemático ruso, que trabaja para como científico en Yahoo!, miembro de los grupos Paradise group y Theory group, ha publicado varios de los cursos que ha dictado en los últimos años por distintos institutos y universidades, en diferentes partes del mundo. Dentro de los cursos publicados por lifshits podremos encontrar referencias a sistemas de búsquedas, algoritmos de reputación, charlas sobre la nueva web, entre otros que pongo a continuación: The New Web. Tutorial at CS Club at Steklov Institute of Mathematics – (2008) Reputation Systems. Tutorial at Caltech – (2008) Algorithmic Problems Around the Web. CS101.2 course at Caltech – (2007) Algorithms for Nearest Neighbor Search. Tutorial at RuSSIR’07 – (2007) A Guide to Web Research. Mini course at Stuttgart University – (2007) Obfuscation y Cryptography. Invited course at Tartu University – (2006) Lectures on Program Obfuscation. Course was supported by Intel Corp. – (2005) Me llamo la atención lo completo de sus cursos sobre criptografía y ofuscación, por ese motivo he creado esta nota y hago referencia a el siguiente material. Notas sobre el Curso Programa de ofuscación y criptografía en la Universidad de Tartu, primavera de 2005 Documentación sobre ofuscación y criptografía: Capitulo 1: Introduction to Obfuscation. Black-box Security Presentación en PDF y Folleto en PDF Capitulo 2: Obfuscation Around Point Functions Presentación en PDF y Folleto en PDF Capitulo 3: Oblivious RAM Presentación en PDF y Folleto en PDF Capitulo 4: Private Circuits Presentación en PDF y Folleto en PDF Capitulo 5: Industrial Approach: Obfuscating Transformations Presentación en PDF y Folleto en PDF Notas sobre el Curso Programa de ofuscación en la Universidad Estatal de San Petersburgo, primavera de 2005 Documentación sobre ofuscación: Capitulo 1: Different Approaches to Program Obfuscation Presentación en PDF Capitulo 2: Practical Obfuscation Techniques Presentación en PDF y Folleto en PS Capitulo 3: Provable Secure Obfuscation Presentación en PDF y Folleto en PS Capitulo 4: Applications of Program Obfuscation Presentación en PDF y Folleto en PS Capitulo 5: Program Obfuscation y Classical Cryptography Presentación en PDF y Folleto en PS Capitulo 6: Open Problems in Program Obfuscation Presentación en PDF y Folleto en PS Espero que les esa de utilidad esta...

Leer Más

El arte de ocultar información – Esteganografía

INTECO (Observatorio de la Seguridad de la Información) acaba de publicar un nuevo artículo de la serie “Cuaderno de notas del Observatorio” titulado “Esteganografía, El Arte de Ocultar Información“, donde nos da conocer un poco de historia sobre este tema así  como las técnicas para ocultar información utilizadas actualmente y las medidas a tomara para evitar la fuga de información por este medio. La esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. En este articulo, se dan a conocer las técnicas en que se basa la estenografía, sus aplicaciones y diferencias frente a la criptografía. Si deseas descargar el articulo en PDF, puedes hacerlo con el siguiente enlace “La esteganografía, el arte de ocultar información”. Mas Información: Pagina oficial de INTECO Articulo “Esteganografía, el arte de ocultar...

Leer Más

Taxonomía de un Ataque con Backtrack 4

Kevin David Quiroga Astroz mas conocido como Progresive-Death en nuestra comunidad, ha lanzado un nuevo portal donde publica una buena documentación en español sobre la taxonómica de un ataque y el uso de la distribución Bactrack, algunos de los temas que contiene la pagina son: [*] Documentos Reconocimiento de un sistema con << backtrack4 (Footprinting) Escaneo de un sistema con << backtrack4 (Scanning) Acceder a un sistema con << backtrack4 (Access) Mantener el acceso en un sistema con << backtrack4 (Maintain Access) Borrado de Huellas con << backtrack 4(Clear log’s) Reporte << (Reporte algo under) [*] Videos Acceso a un sistema con << Backtrack 4 Intrusión/Ataque Automatizada con << Backtrack 4 Borrado de Logs con << Backtrack 4 Tunneling con << Backtrack 4 Rootkits con << Backtrack 4 Visita Taxonomía de un  Ataque con<< Backtrack...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES