Las inyecciones de código son las vulnerabilidades mas comunes encontradas en las aplicaciones web, estos problemas de seguridad llevan muchos años con nosotros, pero son tan recurrentes que por muchos años han ocupado el primer puesto en el TOP 10 Fallos de Seguridad en Aplicaciones Web que realiza OWASP.

En esta ocasión les traigo dos aportes relacionados con este tipo de inyecciones, el primero es un documento escrito por Lod Epsylon, donde nos explica diferentes técnicas de inyección de código como XSS,XSF,CSRF,XFS,XZS,XAS,XRS y XSSDoS entre otras.

Descargar Documento

El segundo aporte es un framework llamado XSSer para automatizar las inyecciones de código que detallan en el documento, fué creado tambien por Lod Epsylon y entre sus principales funciones se encuentran:

• Automatización de inyección de código
• Evasión de filtros
• Carga de payloads para distintos navegadores
• Interface grafica y por linea de comandos
• Buena documentación

Los dejo en compañía de un video explicativo de XSSer

Para mas información:
Pagina oficial del XSSer y la documentación

También puede interesarte...

• TrueCrypt – Cifra tu información en particiones virtuales
• Man in The Middle, Ataque y Detección
• Backtrack 5 Tutorial / Curso en Español
• HackArmoury herramientas de seguridad siempre disponibles
• Nuestros Retos Forenses
• Guía oficial de seguridad en Facebook
• Dominando el Metasploit Framework
• Cómo descubrir vulnerabilidades y escribir exploits

Gracias al cyberhades me entero de un curso en vídeo que esta realizando la pagina LifeHacker, para aprender a programar en JavaScript.

El curso de momento tiene 4 entregas, cada una de ellas consta de un vídeo y un articulo con material de apoyo para el vídeo, esta en ingles pero es bastante practico y fácil de seguir.

Si estas interesad@ en aprender JavaScript, no puedes dejar de ver estos recursos que LifeHacker deja para ti sin ningún costo:

Clase 1 – Variables y tipos de datos básicos

Clase 2 – Trabajando con variables

Clase 3 – Arreglos y declaraciones lógicas

Clase 4 – Entendiendo las funciones y creando un juego de preguntas

Epilogo – Mejores practicas y recursos adicionales

Hace mucho que JavaScript dejo de ser ese lenguaje que todos conocimos con animaciones de ventanas y simples validaciones de cara al cliente, para convertirse en un poderoso lenguaje con el que es posible ahora escribir programas en red escalables, aumentar su poder con librerías y frameworks, por lo tanto es muy recomendable aprenderlo si deseas seguir tu camino por el mundo de la seguridad, en especial de la seguridad web.

También puede interesarte...

• Cursos Gratis de Diseño Web en el Sena Virtual
• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Cupos disponibles en el SENA
• Taxonomía de un Ataque con Backtrack 4
• Curso de Dibujo Vectorial con OpenOffice Draw
• Curso Gratis de Joomla
• Curso de Ubuntu
• Curso en el Sena Virtual sobre Auditoria en Seguridad

Yury Lifshits el conocido matemático ruso, que trabaja para como científico en Yahoo!, miembro de los grupos Paradise group y Theory group, ha publicado varios de los cursos que ha dictado en los últimos años por distintos institutos y universidades, en diferentes partes del mundo.

Dentro de los cursos publicados por lifshits podremos encontrar referencias a sistemas de búsquedas, algoritmos de reputación, charlas sobre la nueva web, entre otros que pongo a continuación:

• The New Web. Tutorial at CS Club at Steklov Institute of Mathematics – (2008)
• Reputation Systems. Tutorial at Caltech – (2008)
• Algorithmic Problems Around the Web. CS101.2 course at Caltech – (2007)
• Algorithms for Nearest Neighbor Search. Tutorial at RuSSIR’07 – (2007)
• A Guide to Web Research. Mini course at Stuttgart University – (2007)
• Obfuscation y Cryptography. Invited course at Tartu University – (2006)
• Lectures on Program Obfuscation. Course was supported by Intel Corp. – (2005)

Me llamo la atención lo completo de sus cursos sobre criptografía y ofuscación, por ese motivo he creado esta nota y hago referencia a el siguiente material.

Notas sobre el Curso Programa de ofuscación y criptografía en la Universidad de Tartu, primavera de 2005

Documentación sobre ofuscación y criptografía:

• Capitulo 1: Introduction to Obfuscation. Black-box Security Presentación en PDF y Folleto en PDF
• Capitulo 2: Obfuscation Around Point Functions Presentación en PDF y Folleto en PDF
• Capitulo 3: Oblivious RAM Presentación en PDF y Folleto en PDF
• Capitulo 4: Private Circuits Presentación en PDF y Folleto en PDF
• Capitulo 5: Industrial Approach: Obfuscating Transformations Presentación en PDF y Folleto en PDF

Notas sobre el Curso Programa de ofuscación en la Universidad Estatal de San Petersburgo, primavera de 2005

Documentación sobre ofuscación:

• Capitulo 1: Different Approaches to Program Obfuscation Presentación en PDF
• Capitulo 2: Practical Obfuscation Techniques Presentación en PDF y Folleto en PS
• Capitulo 3: Provable Secure Obfuscation Presentación en PDF y Folleto en PS
• Capitulo 4: Applications of Program Obfuscation Presentación en PDF y Folleto en PS
• Capitulo 5: Program Obfuscation y Classical Cryptography Presentación en PDF y Folleto en PS
• Capitulo 6: Open Problems in Program Obfuscation Presentación en PDF y Folleto en PS

Espero que les esa de utilidad esta información.

También puede interesarte...

• Capacitación gratuita para realizar el CEH de EC-Council
• Documentación y herramienta para inyección de código
• ¿Cómo aprender a programar en JavaScript?
• Curso sobre desarrollo seguro de aplicaciones web por Google
• Así fue el COMBAT Training en Medellín
• Curso de Introducción a la Seguridad Informática
• Así fue el COMBAT Training en Bogotá
• El arte de ocultar información – Esteganografía

La esteganografía se puede definir como la ocultación de información en un canal encubierto con el propósito de prevenir la detección de un mensaje oculto. En este articulo, se dan a conocer las técnicas en que se basa la estenografía, sus aplicaciones y diferencias frente a la criptografía.

Si deseas descargar el articulo en PDF, puedes hacerlo con el siguiente enlace “La esteganografía, el arte de ocultar información”.

Mas Información:
Pagina oficial de INTECO
Articulo “Esteganografía, el arte de ocultar información”

También puede interesarte...

• FOCA – Herramienta para análisis de Meta Datos
• Documentación y herramienta para inyección de código
• ¿Cómo aprender a programar en JavaScript?
• El curso de Criptografía y Ofuscación de Yury Lifshits
• eBook sobre Analisis de PDF’s Maliciosos
• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• ¿Cómo Configurar la Privacidad en las Redes Sociales?
• Taxonomía de un Ataque con Backtrack 4

[*] Documentos

[*] Videos

Visita Taxonomía de un  Ataque con<< Backtrack 4

También puede interesarte...

• IntyPedia – Enciclopedia visual de la Seguridad Informática
• Backtrack 5 Tutorial / Curso en Español
• ¿Cómo aprender a programar en JavaScript?
• Exploit 0day para Internet Explorer en Windows 7
• Foro de BackTrack en Español
• Security Freak – Videos de iniciacion en seguridad de la informacion
• BackTrack personalizado para La Comunidad DragonJAR
• Capacitación gratuita para realizar el CEH de EC-Council

OSI es la sigla para “Open System Interconnection” que en español significa “Sistemas de interconexión abiertos”, cuando usamos este termino se nos viene de inmediato el modelo de redes y sus siete capas, pero OSI hace parte de la ITU-T (Unión Internacional de Telecomunicaciones) y hace referencia a todo lo que son estándares  para la intercomunicación de sistemas.

La arquitectura de Seguridad OSI esta basada en la recomendación X.800 y el RFC 2828, la esencia  de la arquitectura se basa en la necesidad de las organizaciones de tener políticas de seguridad y servicios que les permitan evaluar todo lo relacionado con la seguridad de su información, estos servicios se resumen en:

1. Autenticación: Confirma que la identidad de una o más entidades conectadas a una o más entidades sea verdadera. Entiéndase por entidad un usuario, proceso o sistema. De igual forma corrobora a una entidad que la información proviene de otra entidad verdadera.
2. Control de acceso: Protege a una entidad contra el uso no autorizado de sus recursos. Este servicio de seguridad se puede aplicar a varios tipos de acceso, por ejemplo el uso de medios de comunicación, la lectura, escritura o eliminación de información y la ejecución de procesos.
3. Confidencialidad: Protege a una entidad contra la revelación deliberada o accidental de cualquier conjunto de datos a entidades no autorizadas.
4. Integridad: Asegura que los datos almacenados en las computadoras y/o transferidos en una conexión no fueron modificados.
5. No repudio: Este servicio protege contra usuarios que quieran negar falsamente que enviaran o recibieran un mensaje.

Basados en la RFC 2828, se enfoca la arquitectura  en lo que llamaríamos los dos riesgos “amenazas y ataques” , en donde una amenaza es la posibilidad latente de que se pueda violar el sistema de información y un ataque ya es propiamente un ataque derivado de una amenaza y un acto inteligente y deliberado.

También puede interesarte...

• El Atacante Informático – Capítulo 2
• IPSec las redes del futuro cercano
• Video Tutoriales de Wireshark
• Kits de crackeo wireless en china
• Aspectos Avanzados de Seguridad en Redes
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online

Estos videos son una grata solución para muchos de los que hemos deseado participar en estos eventos, pero que por diferentes motivos no podemos hacerlo.

En los recursos publicados actualmente podemos encontrar las presentaciones que hacen parte de la OWASP NYC AppSec 2008 Conference:

• Analysis of the Web Hacking Incidents Database (WHID)

• Web Application Security Road Map

• DHS Software Assurance Initiatives

• New 0-Day Browser Exploits: Clickjacking – yea, this is bad…

• Security Assessing Java RMI

• w3af – A Framework to own the web

• Multidisciplinary Bank Attacks

• Spearfishing and the OWASP Live CD

• Payment Card Data Security and the new Enterprise Java

• Best Practices Guide for Web Application Firewalls

• Red And Tiger Team Application Security Projects

• “Help Wanted” 7 Things You Need to Know APPSEC/INFOSEC Employment

• Open Reverse Benchmarking Project

• NIST and SAMATE Static Analysis Tool Exposition (SATE)

• Lotus Notes/Domino Web Application Security

• The OWASP Orizon Project: towards version 1.0

• Building Usable Security

• OWASP EU Summit Portugal

Entre sus metas se espera que sean publicadas todas y cada una de las conferencias, esperemos que así sea.

En Labs.DragonJAR.org, venimos publicando algunos laboratorios aplicados con algunos de los proyectos OWASP (Guía de Pruebas, DirBuster, Pantera, RAT Lab CD, WebGoat, entre otros). Más información sobre los laboratorios >>

También puede interesarte...

• Tercer Encuentro Internacional de Seguridad Informática – Día III
• Charla de Seguridad Web Gratuita – Barcelona España
• La mejor presentación de Seguridad en Aplicaciones Web
• Proyectos OWASP en español
• Samurai, Entorno de trabajo para el testing de seguridad a aplicativos Web
• Vídeo tutoriales sobre seguridad Web por OWASP
• Documentación y herramienta para inyección de código
• Las mejores extensiones de Firefox para mejorar tu seguridad

Gonzalo Álvares Marañon es el responsable de esta genial exposición sobre diferentes aspectos y amenzas en las aplicaciones Web. La presentación va en modo “historia”, y nos cuenta de esta manera, distintas técnicas empleadas para llevar a cabo ataques sobre aplicaciones Web. (XSS, SQL, Envenenamiento de cookies, Phishing, etc.)

La presentación hizo parte de la II Jornada STIC CCN-CERT y pretendía entonces concientizar sobre los problemas de la inseguridad en aplicaciones web.

Seguridad en Aplicaciones Web (1 de 8): Introducción

Seguridad en Aplicaciones Web (2 de 8): La historia de Julián Moreno

Seguridad en Aplicaciones Web (3 de 8): La tienda electrónica

Seguridad en Aplicaciones Web (4 de 8): XSS

Seguridad en Aplicaciones Web (5 de 8): Phishing

Seguridad en Aplicaciones Web (6 de 8): Cookies

Seguridad en Aplicaciones Web (7 de 8): Inyección de SQL

Seguridad en Aplicaciones Web (8 de 8): Conclusiones

Más información…

También puede interesarte...

• OWASP.TV, videos en línea de las conferencias OWASP
• Samurai, Entorno de trabajo para el testing de seguridad a aplicativos Web
• Documentación y herramienta para inyección de código
• Las mejores extensiones de Firefox para mejorar tu seguridad
• Presentación de conceptos básicos en Seguridad Web
• ¿Cómo aprender a programar en JavaScript?
• El curso de Criptografía y Ofuscación de Yury Lifshits
• Revisa la seguridad de tu sitio web Gratis

Bueno compañeros después de muchos intentos fallidos logramos hacer realidad este grandioso proyecto. Un proyecto donde participaron muchas personas, desde los amigos que hicieron los artículos hasta la editada en fin todo, Sabemos que no quedo la súper revista pero esperamos mejorar para la próxima edición con todas esas sugerencias y criticas constructivas que ustedes nos hagan.

ueremos dar gracias a todas las personas que de una u otra forma colaboraron para sacar este proyecto adelante y no dejarlo en palabra como ocurrió muchas veces, fue un esfuerzo grande de parte de todos nosotros y esperamos que les guste el resultado final, nos pueden hacer sugerencias, opiniones, quejas al correo epsilon77(arroba)gmail.com o ezinedragonjar(arroba)dragonjar.org y esperamos que para la siguiente edición nos colaboren muchas mas personas.

D3 – Diseño
Haxs – Escritor
Spiderman- Escritor
Non – Escritor
Unknownmind – Escritor
Sk0rpy0- Escritor Y Editor
Epsilon77- Escritor Y Editor
Gracias a todos por la colaboración

Bueno me despido muchas gracias a todos y especialmente a dragon que depositó la confianza en mi y pienso que no lo defraude esperamos que esta revista sea de su agrado y que siga creciendo

si encuentras fallos en esta revista ortográficos, técnicos, etc.. o quieres enviar tus artículos envianos un mail a
epsilon77@gmail.com o ezinedragonjar@dragonjar.org

Att: epsilon77

Sin nada mas que agregar espero que disfruten esta primera entrega de La Ezine de La Comunidad DragonJAR

DESCARGAR EZINE #1 COMUNIDAD DRAGONJAR

Mirror I
Mirror II
Mirror III

¿Por que “BETA”?, Actualmente la ezine esta dando sus primeros pasos y tiene un largo camino por recorrer todavía esta en proceso de maduración, cuando este proceso termine la ezine pasara de ser una versión beta a una final con excelentes artículos y aportes de los integrantes de la Comunidad.

También puede interesarte...

• Ezine Comunidad DragonJAR Online
• E-zine #4 Comunidad DragonJAR
• E-zine #3 Comunidad DragonJAR
• E-ZINE No Oficial de Elhacker.net No. 1
• Todas las Revistas PC Actual en PDF
• Revista Electrónica El Derecho Informático 9
• Boletín de la Comunidad DragonJAR #0019 / Agosto de 2011
• Revista Electrónica El Derecho Informático 8

• Programaci?n
• Hacking
• Software
• Dise?o
• Sistemas operativos
• Trucos
• Redes

Igualmente se aceptan sugerencias
y recomendaciones, Por ultimo queremos invitar a toda la comunidad dragonjar
a que si tienen un articulo, un tutorial, un texto, una practica etc.
de su autor?a,  y quieran colaborar  con la causa, lo pueden
mandar a epsilon77@gmail.com, y  lo tendremos en cuenta, vamos
a recoger material hasta el 5 de junio, todav?a tienen plazo para crear
sus buenos textos y mandarlo, bueno esperamos la colaboraci?n de todos  

Informes

Epsilon77@gmail.com (gtalk)

http://foro.dragonjar.us/index.php?topic=23980.msg86528;topicseen#new

También puede interesarte...

• Documentación y herramienta para inyección de código
• ¿Cómo aprender a programar en JavaScript?
• El curso de Criptografía y Ofuscación de Yury Lifshits
• El arte de ocultar información – Esteganografía
• Taxonomía de un Ataque con Backtrack 4
• La arquitectura de seguridad OSI
• OWASP.TV, videos en línea de las conferencias OWASP
• La mejor presentación de Seguridad en Aplicaciones Web