La Comunidad DragonJAR

El ataque de envenenamiento de cookies o mas conocido como cookie poison, consiste en modificar el contenido una cookie  con el fin  de saltar algunos mecanismos de seguridad que se basan en este método.¿ Pero que es una cookie? para todos aquellos que no tengan claro que es una cookie (no es una galleta) cito la wiki:

Una cookie (pronunciado ['ku.ki]; literalmente galleta) es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama “huella”.

Leer más…

Es una pregunta que todos los interesados por la seguridad informática o administradores de red en algún momento de nuestro camino nos hacemos, en el proyecto hermano de nuestra comunidad sec-track, desarrollado por 4v4t4r nos comparten una recopilación de podcast, realizados por Fernando Quintero (nonr00t) para sus alumnos de Administración de Redes del SENA, donde explica de forma clara y fácil de comprender que son los proxies, para que sirven y como implementarlos.

Les dejo entonces la explicación de nonroot sobre proxies para aprender mas sobre esta herramienta. Leer más…

Webtunnel es una utilidad de red que encapsula los datos en HTTP arbitrarias y la transmite a través de un servidor web, es similar a httptunnel, sin embargo, tiene varias diferencias importantes: su componente de servidor se ejecuta en el contexto de un servidor web como una aplicación CGI (opcional con FastCGI) por lo que no necesita su propio puerto, y es compatible con la mayoría de cosas que soporta el servidor web, (autenticación, HTTP 1.1, HTTPS, certificados de cliente),  utiliza simples solicitudes y respuestas así que funciona perfectamente a través de servidores proxy, es multi-hilos (multi-proceso realmente usando sockets para la comunicación entre procesos) para permitir que múltiples conexiones paralelas a múltiples destinos simultáneamente.

Leer más…

El equipo de seguridad de Google han liberado como opensource su herramienta Ratproxy que permite una auditación de sitios web para buscar fallos en la seguridad. La herramienta realiza varias pruebas de seguridad para detectar vulnerabilidades como XSS, scripts cross-domain, problemas en el cache y un largo etcétera.

Puedes encontrar una lista detallada del funcionamiento de este proxy en la documentación del proyecto. La herramienta se enfoca en dar informes concisos sobre potenciales problemas de seguridad en aplicaciones web 2.0 y es resultado del trabajo diario de Google en el área de seguridad de sus aplicaciones; por lo que es capaz de diferenciar entre código javascript y css, decompilar contenido Flash on-the-fly, trabajar sobre SSL, etc. Leer más…