X5S – Encuentra fallos XSS, LFI y RFI fácilmente

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones. Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI. Aunque X5S es una herramienta gratuita y de código abierto, desafortunadamente solo esta disponible para entornos Windows, pero si eres desarrollador web y te preocupa la seguridad de tus creaciones, no dudes en bajar testar tu código con ella. Descargar X5S Mas Información: Pagina Oficial de X5S Documentación de...

Leer Más

Pensando en la seguridad del HTML5

Mucho se ha hablado de HTML 5, que es la evolución lógica del HTML, que reemplazará Flash, que es el futuro, que nos facilitara la vida a los webmasters, que youtube ya tiene su versión en este lenguaje, etc.. Pero no tantos se han puesto a pensar como explotar la seguridad del HTML5  como Alberto Trivero quien ha escrito el documento titulado “Abusing HTML 5 Structured Client-side Storage”, que les dejo a continuación para que tengan en cuenta a la hora de desarrollar nuevos sitios con HTML5. Espero que les sea de utilidad y lo agreguen a sus favoritos para futuras...

Leer Más

Hydra Revive!!

Hydra es una excelente herramienta para realizar testeo de contraseñas en servicios por medio de la fuerza bruta, lastimosamente la herramienta parecía abandonada y muchas personas recomendaban algunas alternativas como medusa, mas actualizada por sus autores. Afortunadamente The Hacker’s Choice ha publicado una nueva versión de esta excelente herramienta que ademas permitir testear la seguridad de las contraseñas en los siguientes servicios: TELNET FTP HTTP HTTPS HTTP-PROXY SMB SMBNT MS-SQL MYSQL REXEC RSH RLOGIN CVS SNMP SMTP-AUTH SOCKS5 VNC POP3 IMAP NNTP PCNFS ICQ SAP/R3 LDAP2 LDAP3 Postgres Teamspeak Cisco auth Cisco enable LDAP2 Cisco AAA También incluyen muchas novedades,  comentaremos las mas importantes: Ahora hydra esta licenciada bajo GPL v3 Nuevo soporte para autenticación  SIP MD5 No hay mas soporte para Palm, ARM y Windows (al parecer causaba muchos dolores de cabeza a su autor) Algunas mejoras en el modulo SSH2 Muchos bugs solucionados. Si quieres ver el listado de cambios completo, puedes visitar la pagina oficial del proyecto Hydra. Espero que sigan actualizando mas seguido esta herramienta y no la dejen morir ya que aunque existen muchas alternativas, Hydra siempre tiene un rincón especial en mi kit de...

Leer Más

Video: Ataque de envenenamiento de cookies (Cookie-Poisoning)

El ataque de envenenamiento de cookies o mas conocido como cookie poison, consiste en modificar el contenido una cookie  con el fin  de saltar algunos mecanismos de seguridad que se basan en este método.¿ Pero que es una cookie? para todos aquellos que no tengan claro que es una cookie (no es una galleta) cito la wiki: Una cookie (pronunciado [‘ku.ki]; literalmente galleta) es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama “huella”. Con este tipo de ataque se pueden hacer cosas muy interesantes entre las cuales tenemos: robo de identidad. Obtener informacion no autorizada. Modificar algunos datos. Robar sesiones. En el siguiente vídeo la gente de imperva nos muestra como podemos hacer efectivo una ataque de cookie poisoning usando la herramienta llamada: paros proxy la cual funciona como un proxy, permitiendo capturar las peticiones HTTP e incluso las HTTPS, De esta forma  y con un poco de malicia y suerte se pueden realizar este tipo de ataques. A continuación el vídeo demostrativo: Mas Información: Using Cookie Poisoning to Bypass Security...

Leer Más
Forzando Conexiones SSL por defecto
Ago08

Forzando Conexiones SSL por defecto

Es una buena práctica de seguridad utilizar siempre Secure Sockets Layer (SSL) para todas las paginas que visitemos y que cuenten con este protocolo, pero muchas veces la entrada por este medio no esta de modo predeterminado, en el siguiente articulo podremos ver como configurar nuestro navegador de tal forma que si un sitio web cuenta con SSL entremos de forma predeterminada por el, “asegurando” los datos que enviemos al sitio en cuestión. Primero que todo… ¿Qué es el SSL? Veamos que dice la Wikipedia. SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsificación de la identidad del remitente (phishing) y alterar la integridad del mensaje. Vamos a configurar nuestro navegador Firefox, en los 3 sistemas operativos mas utilizados (Microsoft Windows, Mac OS X y GNU Linux) para que todas las conexiones que realizemos desde el sean utilizando el protocolo SSL (siempre y cuando la pagina lo soporte. Lo primeor que haremos es abrir nuestro Firefox y nos vamos al página donde están publicados todos los complementos. Complementos de Firefox y buscamos Greasemonkey. Hacemos clien en añadir a Firefox Y empezamos a descargar el complemento. Siempre después de instalar un complemento en Firefox hay que reiniciar Después de haber reiniciado nos saldrá que el complemento se ha instalado correctamente. Ahora que ya tenemos instalado Greasemonkey, nos vamos a la página para instalar el Script. Script para Greasemonkey En esta página le damos a Install, luego veremos aparece algo así: => Continua leyendo este articulo en el foro de nuestra comunidad...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES