La Comunidad DragonJAR

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones.

Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI. Leer más…

Mucho se ha hablado de HTML 5, que es la evolución lógica del HTML, que reemplazará Flash, que es el futuro, que nos facilitara la vida a los webmasters, que youtube ya tiene su versión en este lenguaje, etc..

Pero no tantos se han puesto a pensar como explotar la seguridad del HTML5  como Alberto Trivero quien ha escrito el documento titulado “Abusing HTML 5 Structured Client-side Storage”, que les dejo a continuación para que tengan en cuenta a la hora de desarrollar nuevos sitios con HTML5. Leer más…

Hydra es una excelente herramienta para realizar testeo de contraseñas en servicios por medio de la fuerza bruta, lastimosamente la herramienta parecía abandonada y muchas personas recomendaban algunas alternativas como medusa, mas actualizada por sus autores.

Afortunadamente The Hacker’s Choice ha publicado una nueva versión de esta excelente herramienta que ademas permitir testear la seguridad de las contraseñas en los siguientes servicios: Leer más…

El ataque de envenenamiento de cookies o mas conocido como cookie poison, consiste en modificar el contenido una cookie  con el fin  de saltar algunos mecanismos de seguridad que se basan en este método.¿ Pero que es una cookie? para todos aquellos que no tengan claro que es una cookie (no es una galleta) cito la wiki:

Una cookie (pronunciado ['ku.ki]; literalmente galleta) es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama “huella”.

Leer más…

Es una buena práctica de seguridad utilizar siempre Secure Sockets Layer (SSL) para todas las paginas que visitemos y que cuenten con este protocolo, pero muchas veces la entrada por este medio no esta de modo predeterminado, en el siguiente articulo podremos ver como configurar nuestro navegador de tal forma que si un sitio web cuenta con SSL entremos de forma predeterminada por el, “asegurando” los datos que enviemos al sitio en cuestión.

Leer más…

El próximo Viernes 15 de Maryo de 2009 se realizara en el Ateneu Barcelonès de Barcelona, la quinta versión del OWASP Spain Chapter Meeting, una serie de charlas sobre seguridad web patrocinadas por el Proyecto OWASP.

Las charlas no tienen ningún costo y para asistir únicamente es necesario que los asistentes envíen un correo a “vicente.aguilera@owasp.org” indicando en el asunto del mensaje la palabra “INSCRIPCIÓN”. Solicita el certificado de asistencia y consigue CPEs.

La programación es excelentes, con ponentes reconocidos en el sector de la seguridad web y unas temáticas que no tienen nada que envidiar a un congreso internacional sobre el tema. Leer más…

Webtunnel es una utilidad de red que encapsula los datos en HTTP arbitrarias y la transmite a través de un servidor web, es similar a httptunnel, sin embargo, tiene varias diferencias importantes: su componente de servidor se ejecuta en el contexto de un servidor web como una aplicación CGI (opcional con FastCGI) por lo que no necesita su propio puerto, y es compatible con la mayoría de cosas que soporta el servidor web, (autenticación, HTTP 1.1, HTTPS, certificados de cliente),  utiliza simples solicitudes y respuestas así que funciona perfectamente a través de servidores proxy, es multi-hilos (multi-proceso realmente usando sockets para la comunicación entre procesos) para permitir que múltiples conexiones paralelas a múltiples destinos simultáneamente.

Leer más…