Top 10 Técnicas de Seguridad Web en el 2009

El director de WhiteHatSec, Jeremiah Grossman, reconocido en el mundo de la seguridad informática, por sus aportes en el campo de la seguridad web, ha publicado en su blog una entrada llamada “Top Ten Web Hacking Techniques of 2009 (Official)“, la cual pretende ser una recopilación de las nuevas técnicas en seguridad web publicadas durante el 2009. Constantemente salen nuevas técnicas de seguridad web, pero muchas veces estas son dejadas en el olvido en blogs y papers poco visitados/descargados, la finalidad de este top, es dar a conocer estas nuevas tecnicas, para poder tenerlas en cuenta a la hora de testear o programar una aplicación web. El TOP 10 de Tenicas en Seguridad Web del 2009 es: Creating a rogue CA certificate Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger HTTP Parameter Pollution (HPP) Luca Carettoni, Stefano diPaola Flickr’s API Signature Forgery Vulnerability (MD5 extension attack) Thai Duong and Juliano Rizzo Cross-domain search timing Chris Evans Slowloris HTTP DoS Robert Hansen, (additional credit for earlier discovery to Adrian Ilarion Ciobanu & Ivan Ristic – “Programming Model Attacks” section of Apache Security for describing the attack, but did not produce a tool) Microsoft IIS 0-Day Vulnerability Parsing Files (semi‐colon bug) Soroush Dalili Exploiting unexploitable XSS Stephen Sclafani Our Favorite XSS Filters and how to Attack them Eduardo Vela (sirdarckcat), David Lindsay (thornmaker) RFC1918 Caching Security Issues Robert Hansen DNS Rebinding (3-part series Persistent Cookies, Scraping & Spamming, and Session Fixation) Robert Hansen Cada técnica expuesta en este TOP 10, será explicada detalladamente en los eventos IT-Defense y RSA USA 2010 donde Jeremiah Grossman dictará la charla “2010: A Web Hacking Odyssey”. Puedes ver los mas de 80 articulos propuestos para este TOP10 en este enlace, aunque no quedaron en el podio, no dejan de ser una buena fuente de información si te interesa el área de la seguridad en aplicaciones...

Leer Más

Bloquear telefonos celulares Nokia con un SMS

En l último congreso CCC (Chaos Computer Club) se ha publicado una vulnerabilidad que afecta Teléfonos Móviles de la empresa finlandesa Nokia que permite dejar un teléfono celular sin poder recibir o enviar SMS (mensajes de texto) o MMS (mensajes multimedia). El bug consiste en enviar un mensaje de texto con un formato específico a un celular que utilice el Sistema Operativo Symbian S60, usado por la mayoría de móviles Nokia, algunos Panasonic y Samsung. Lista de Modelos NOKIA Afectados: S60 3rd Edition, Feature Pack 1 (S60 3.1): Nokia E90 Communicator Nokia E71 Nokia E66 Nokia E51 Nokia N95 8GB Nokia N95 Nokia N82 Nokia N81 8GB Nokia N81 Nokia N76 Nokia 6290 Nokia 6124 classic Nokia 6121 classic Nokia 6120 classic Nokia 6110 Navigator Nokia 5700 XpressMusic S60 3rd Edition, initial release (S60 3.0): Nokia E70 Nokia E65 Nokia E62 Nokia E61i Nokia E61 Nokia E60 Nokia E50 Nokia N93i Nokia N93 Nokia N92 Nokia N91 8GB Nokia N91 Nokia N80 Nokia N77 Nokia N73 Nokia N71 Nokia 5500 Nokia 3250 S60 2nd Edition, Feature Pack 3 (S60 2.8): Nokia N90 Nokia N72 Nokia N70 S60 2nd Edition, Feature Pack 2 (S60 2.6): Nokia 6682 Nokia 6681 Nokia 6680 Nokia 6630 Para ver la lista completa de los dispositivos afectados click aquí. Después de enviar este mensaje el destinatario no podrá recibir ni enviar mensajes de texto o mensajes multimedia; esta técnica recibe como nombre “Curse Of Silence” que en español sería algo así como “Maldición del Silencio”‘. Para que un equipo se vea afectado es necesario enviar un SMS en formato e-mail que comience con: [email protected] <=(con un espacio final) Para enviar un SMS en formato Email (en teléfonos Nokia modernos): abriendo el editor de SMS Ir a “Opciones” luego “Opciones de envió” “Mens. enviado como” “Correo” Si has sido víctima de este tipo de ataque puedes desbloquear tu teléfono realizando un “Hard Reset” o reseteo de hardware (aunque perderás la configuración de tu teléfono), también puedes instalar el CurseSMS en tu celular, es una herramienta gratuita que te permite desbloquear tu teléfono del ataque “Curse of Silcense” sin realizar un “Hard Reset”. Descargar el CurseSMS CurseSMS en Ingles para (S60 Symbian 7/8) CurseSMS en Ingles para (S60 Symbian 9) Más Información: Remote SMS/MMS Denial of Service – “Curse Of Silence” for Nokia S60 phones Security By Default: Silenciando Nokias a...

Leer Más

GNU/Linux Seguridad Técnica y Legal (PDF)

Les comparto este libro Libro linux seguridad técnica y legal escrito por Jose L. Rivas Lopez, Enrique Ares Gomez, Victor A. Salgado Segui. Los capítulos de este libro son: Seguridad Física Introducción a Linux y a la legislación Española Instalación Conceptos Básicos Seguridad en las cuentas Administración de las cuentas Copias de seguridad Monitorizar y auditar Introducción a redes Servicios y demonios Cortafuegos ¿como suelen “hackear” una maquina? Violación de seguridad Procedimientos de protección Evaluación del “hacking” desde el marco legal Descargar Libro GNU Linux Seguridad Técnica y...

Leer Más

Como protegerse contra las técnicas de Blind SQL Injection

Maligno webmaster de “Un informático en el lado del mal” ha terminado su serie de artículos titulados “Protección contra las técnicas de Blind SQL Injection”, son de lectura recomendada así que aquí les dejo. Protección contra las técnicas de Blind SQL Injection (I de IV) Protección contra las técnicas de Blind SQL Injection (II de IV) Protección contra las técnicas de Blind SQL Injection (III de IV) Protección contra las técnicas de Blind SQL Injection (IV de IV) PD. si te gusta ubuntu depronto te parecerá gracioso lo que hace este personaje en sus días de ocio “San Ubuntu...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES