Introducción en video del TOP 10 de OWASP 2013
jul17

Introducción en video del TOP 10 de OWASP 2013

El TOP 10 de OWASP sobre vulnerabilidades en aplicaciones web es un listado que periódicamente pública The Open Web Application Security Project (OWASP), basado en información sobre riegos provenientes de 8 firmas especializadas en seguridad de aplicaciones. En este TOP 10 se tienen en cuenta alrededor de 500.000 vulnerabilidades alrededor de cientos de organizaciones y miles de aplicaciones web. Organizadas de tal forma que las vulnerabilidades más críticas según su facilidad de explotación, detección e impacto se ubican en puestos más altos en el TOP. En la cima del top 10 desde que se realiza este tipo de listados por la organización OWASP, se encuentran todavía las vulnerabilidades de tipo inyección. Es decir, las vulnerabilidades que se pueden explotar por falta de filtros en las entradas que ingresan los usuarios y que permiten inyectar diferentes tipos de código según el fallo, después del primer lugar el top se ha estado moviendo a través de sus ediciones, les dejo el siguiente resumen en video del OWASP TOP 10 edición 2013 en...

Leer Más
Nos vemos en Bolivia y Perú
abr11

Nos vemos en Bolivia y Perú

  OWASP Latam Tour, es una gira por Latino América organizada por OWASP (Open Web Application Security Project) que pretende promover la seguridad de aplicaciones web en universidades, organismos gubernamentales, empresas de TI, entidades financieras y el publico en general. Este año DragonJAR participara en dos de los capítulos latinoamericanos, Perú y  Bolivia, pero no solo con charlas, también estaremos impartiendo uno de nuestros cursos más exitosos y más recomendado “De 0 a ninja con Metasploit”, sabemos que hay muchos interesados por este curso, pero estamos limitados por el espacio físico tanto en Lima como en Santa Cruz. Esta versión del curso, trae sorpresas que solo podrás disfrutar en esta oportunidad y estamos hablando de algo más que el contendido de alta calidad, esta es tu oportunidad para aprender de la mano de Profesionales que te enseñaran a usar esta herramienta y resolver de manera exitosa los problemas que te puedes encontrar en los entornos reales, si tomas este curso en cualquiera de las ediciones te daremos un regalo a adicional por parte de DragonJAR, serás parte de un exclusivo programa que aún no se abrirá al público y todo esto incluido en el precio establecido por OWASP. Temario del Curso “De 0 a Ninja con Metasploit” Introducción a Metasploit Introducción a la linea de comandos de Metasploit Trabajando con Metasploit y sus componentes (msfconsole, msfcli, msfpayload, msfencode, msfvenom, etc…) Etapas de un Pentesting y las herramientas para realizarlas incluidas en Metasploit Integración con Herramientas Externas Post-Explotación, ya tengo shell … ¿ahora que hago? Trabajando con Meterpreter Meterpreter no es el Único PayLoad Trabajo colaborativo usando Armitage/Cobalt Strike Generando el informe ¿Alguna tool que pueda ayudarme? Si estas interesado en vivir esta gran experiencia, debes tener en cuenta que todos los tramites administrativos del curso inscripciones, pagos y demás actividades son gestionados por OWASP, DragonJAR esta encargado de impartirte el mejor contenido en español de Metasploit. No pierdas esta Oportunidad Única. Registro              ...

Leer Más
¿Cómo se realiza un Pentest?
mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más
Disponibles las presentaciones de la #OWASPSpain8
jul14

Disponibles las presentaciones de la #OWASPSpain8

El pasado 13 de Junio tuvo lugar en Barcelona la octava edición de las conferencias del capítulo español de Owasp. Las jornadas fueron excelentes y tuvieron gran aceptación entre los asistentes. Las presentaciones ya están listas además de algunas fotos del evento. Introducción a la jornada – PDF Vicente Aguilera Díaz. OWASP Spain Chapter Leader. Socio y Director Dpto. Auditoría en Internet Security Auditors. On Breaking PHP-based Cross-Site Scripting Protection Mechanisms In The Wild – PDF Ashar Javed. Research Assistant. Ruhr University Bochum, Germany. Cross-Site Scripting (XSS) attacks are at number one in Open Source Vulnerability Database (OSVDB) and according to a recent report by Trustwave, 82% of web applications are vulnerable to XSS flaws. PHP—Hypertext Preprocessor is by far the most popular server-side web programming language. In this paper, we perform security analysis of PHP-based XSS protection mechanisms available in the wild. The analysis includes PHP’s built-in functions (11 common examples of using PHP’s built-in functions in the wild), 10 popular customized solutions powering thousands of PHP files on GitHub and 8 commercially used open-source web applications’ frameworks like CodeIgniter (in use on hundreds of thousands of web applications), htmLawed (its Drupal module has been downloaded more than 19000 times), HTML Purifier (integrated in a another popular PHP framework named Yii), Nette (in use on a website of the president of The Czech Republic), PHP Input Filter (more than 1500 PHP files on GitHub are using it), PEAR’s HTML Safe (powering more than 100 PHP files), CakePHP (in use on more than 20K PHP files) and Laravel PHP framework (winner of best PHP framework of the year 2013) etc. This paper shows how a motivated attacker can bypass these XSS protection mechanisms. We show XSS bypasses for modern and old browsers and report other issues that we found in these protection mechanisms. The developers of CodeIgniter, htmLawed, HTML Purifier and Nette have acknowledged our findings and our suggestions have been implemented in top-notch frameworks like CodeIgniter, htmLawed and Nette. Reversing & Protecting Android applications – PDF Pau Oliva Fora. Mobile Security Engineer. viaForensics. Esta presentación mostrará como realizar ingeniería inversa de una aplicación Android, y cuales son las vulnerabilidades más comunes que se encuentran en estas aplicaciones. Por otro lado, se mostrarán algunas medidas que pueden aplicar los desarrolladores para proteger y securizar sus aplicaciones. 50 Shades of crimeware – PDF Frank Ruíz Arenas. Threat Intelligence Analyst. Fox IT. Manu Quintans. Manager de Intelligence. Deloitte/Buguroo. El principal objetivo de esta presentación es el de tratar el panorama actual del Cibercrimen desde un punto de vista crítico y documentado ofreciendo a los asistentes un Timeline detallado de los eventos...

Leer Más
Vídeos de la OWASP AppSecEu 2014
jul06

Vídeos de la OWASP AppSecEu 2014

OWASP Open Web Application Security Project, y sus guias de pruebas se han convertido en un estándar de facto y muy bien conocido por los que se dedican a la seguridad informática. Esta organización tiene proyectos tan famosos como el OWASP Top Ten. En el que se recogen las 10 vulnerabilidades web mas explotadas. De hecho muchas herramientas de escaneo en los que uno de sus profiles es encontrar vulnerabilidades del OWASP Top Ten. Con W3af, tenemos la opción de seleccionar el tipo de escaneo en el que se probarán las vulnerabilidades. Además de este proyecto del Top Ten, hacen proyectos relacionados con el DNI electrónico, investigación en nuevas tecnologías web y, por si fuera poco, también liberan y patrocinan grandiosas herramientas como el Zed Attack Proxy (ZAP). Se ha celebrado el evento AppSecEu. Y para los que no habéis podido ir, os dejo los videos que han colgado en el canal de Youtube Los videos son: Hemil Shah – Smart Storage Scanning for Mobile Apps – Attacks and Exploit OrKatz – Getting New Actionable Insights by Analyzing Web Application Firewall Triggers Jacob West – Keynote – Fighting Next-Generation Adversaries with Shared Threat Intelligence Lorenzo Cavallaro – Keynote – Copper Droid On the Reconstruction of Android Malware Behaviors Matt Tesauro – Barbican Protect your Secrets at Scale Gergely Revay – Security Implications of Cross-Origin Resource Sharing Simon Bennetts – OWASP ZAP Advanced Features Maty Siman – Warning Ahead Security Stormsare Brewing in Your JavaScript Dan Cornell – Hybrid Analysis Mapping Making Security and Development Tools Play Nice Together StevenMurdoch – Keynote-Anonymous Communications and Tor History and Future Challenges Winston Bond – OWASP Mobile Top Ten 2014 – The New Lack of Binary Protection Category Jerry Hoff – Getting a Handle on Mobile Security AppSec EU 2014 Chapter Leaders Workshop OWASP AppSec Europe 2014 – Frameworks and Theories Track OWASP AppSec Europe 2014 – Builder and Breaker Track OWASP AppSec Europe 2014 – DevOps Track OWASP AppSec Europe 2014 – Security Management & Training Track OWASP AppSec Europe 2014 – Malware & Defence Track OWASP AppSec Europe 2014 – Mobile Track A disfrutar un día de...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"