Presentación de conceptos básicos en Seguridad Web

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones. Es importante señalar que existen más ataques, los cuales no figuran en la presentación. Descargar documentación También podremos ver ejemplos prácticos de todas las técnicas mencionadas en los siguientes vídeos. XSS CSRF Path Traversal Null Byte OS Commanding Local File Inclusion Remote File Inclusion Information Disclosure SQL Injection/Blind SQL Injection File Upload Agradecimientos especiales a Marcos García por compartir esta información con...

Leer Más

Vulnerabilidad en Routers Thomson a Fondo

Este documento pretende ser de forma explícita, la opción de poder obtener la clave WEP de los router Thomson, en sus versiones 6 y 7, de las cuales se ha realizado pruebas satisfactorias. Estos routers son distribuidos en Mexico por una compañía que presta los servicios de internet, en España creo que por Orange, y en Guatemala por la empresa que ya conocemos, y que es la principal en los servicios de internet residencial. Bueno, sin mas preámbulo vamos a las prueba, que pienso que es lo que mas apreciamos, si es cierto es lo que mas aprecio cuando alguien divulga algo interesante sobre las redes inalámbricas, aunque después me toque que leer la introducción. (claro esta que en emergencias la introducción se pasa por alto, si, eso, el conocimiento hace que saltemos ese paso) Materiales: 1). Sistema Operativo: en este ejercicio utilizo Windows Xp. 2). Software: inSSIDer 2.0 http://www.metageek.net/products/inssider Figura No1. Acerca de inSSIDer Aunque también se puede utilizar NetStumbler, (utilizado por excelencia): http://www.netstumbler.com/downloads/ (para las antenas caseras me ha servido mucho para direccionar la señal) 3). Tarjeta de Red Wifi: en este ejercicio he utilizado una marca Sabrent (vale también una Alfa con chip Realtek 8187L): Figura No 2. Propiedades Tarjeta Wifi con chip Realtek 4). Laptop: si, Porque? (después lo explico), con una batería al 100% de carga y que dure mas de una hora. En que consiste? La vulnerabilidad o defecto de fábrica consiste en que, si observamos físicamente estos routers en la parte inferior, traen consigo una etiqueta donde esta el nombre del SSID por defecto y su correspondientes claves WEP y WPA, que vienen siendo las mismas. En la versión 6, el nombre del SSID que viene por defecto esta compuesto por la siguiente cadena: SpeedTouch123456 y en la versión 7, esta cadena a cambiado por esta otra: Thomson123456, denotando que los últimos seis caracteres son hexadecimales. Resulta que conociendo estos caracteres hexadecimales, utilizando ingenieria reversa, se puede llegar a obtener la clave WEP por default. Existe un programa desarrollado en C, creado por él que hizo este estudio, el cual pueden encontrar en varios sitios: http://www.gnucitizen.org/blog/default-key-algorithm-in-thomson-and-bt-home-hub-routers/ http://foro.elhacker.net/hacking_wireless/routers_thomson_caso_espanol_redes_wepwpa_%E2%80%9Cspeedtouchxxxxxx%E2%80%9D_al_descubierto-t208312.0.html http://lampiweb.com/foro/index.php?topic=1763.0 En fin, si buscamos en la red, seguro que encontraremos mucha información al respecto. Otra vulnerabilidad? Para mi opinión creo que si, se trata del contenido de este ejerció, entonces manos a obra. Resulta que por alguna extraña razón (y creo que no es así) cuando se inicia o reinicia un router de esta marca, nos da la grata sorpresa!!! Ahora si, primer paso: Abrir (ejecutar) el inSSIDer: Figura No3. InSSIDer ejecutandose. Entre las bondades de esta aplicación están las de capturar las SSID...

Leer Más

X5S – Encuentra fallos XSS, LFI y RFI fácilmente

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones. Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI. Aunque X5S es una herramienta gratuita y de código abierto, desafortunadamente solo esta disponible para entornos Windows, pero si eres desarrollador web y te preocupa la seguridad de tus creaciones, no dudes en bajar testar tu código con ella. Descargar X5S Mas Información: Pagina Oficial de X5S Documentación de...

Leer Más

Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad

Hace poco vimos como un miembro del Dev-Team mas conocido como @comex nos presentaba un nuevo método de Jailbreak que permitía realizar este procedimiento en cualquier iPhone, iPod Touch e iPad el procedimiento es bastante simple, basta con navegar desde nuestro Safari en una pagina especialmente diseñada, deslizar nuestro dedo y en poco tiempo tendremos el “Jailbrekeado” nuestro dispositivo. En realidad lo que hace el JailbreakMe es explotar una vulnerabilidad en la forma como maneja  los archivos PDF el navegador Safari Mobile, utilizado en los dispositivos móviles de Apple (iPhone, iPod Touch, iPad) para ejecutar código arbitrario, en este caso ejecutar el instalador del Jailbreak. En esta ocasión han explotado una vulnerabilidad en nuestro sistema, para realizar algo que deseábamos (liberar nuestro dispositivo), pero.. ¿que pasaría si una persona mal intencionada aprovecha esta vulnerabilidad?… la respuesta es que podría tomar total control de tu gadget favorito para hacer con el lo que quiera. De momento Apple no ha publicado un parche oficial para solucionar este problema de seguridad, pero afortunadamente Will Strafach un colaborador del proyecto Cydia, ha publicado una solución no oficial para resolver este fallo de seguridad, para instalarlo irónicamente tendrías que tener “Jailbreakeado” tu dispositivo y desde Cydia instalar el hack “PDF Loading Warner“, lo que hace este parche es pedirnos una confirmación en el Safari, cada vez que queramos abrir un archivo PDF (en vez de abrirlo sin pedir permiso como lo hace por defecto). Algunas Recomendaciones: Utilizar un navegador alternativo a Safari Mobile (recomiendo Opera Mini) No abrir ningún archivo PDF desde tu dispositivo móvil. Instalar el hack “PDF Loading Warner” desde Cydia (necesitas realizar el jailbreak en tu equipo) Actualizar a la ultima versión del iOS (al parecer pronto llegara la versión 4.1 del iOS, donde se soluciona este problema) Espero que estés pendientes de las nuevas actualizaciones al iOS y de los archivos que abres en el navegador de tu iPhone, iPod Touch o...

Leer Más

Revisa la seguridad de tu sitio web Gratis

Cuando se administra un servidor Web, uno de los puntos claves a tener en cuenta es la seguridad tanto de los servicios como de los aplicativos alojados en el, ya que si no contamos con buenas medidas de seguridad, dichos aplicativos, podría ser la puerta de entrada a nuestra organización de un delincuente informático. Desafortunadamente, son pocos los administradores que cuentan con conocimientos en seguridad Web y es por esto que día a día se ven casos de instrucciones en donde los sitios Web fueron el débil eslabón por medio del cual ingresaron a los sistemas de una organización. ZeroDayScan es un servicio que ayuda en la tarea de revisar la seguridad de un aplicativo Web automáticamente, para utilizarlo, solo necesitamos llenar el siguiente formulario, como se indica en la siguiente imagen: La aplicación permite detectar las siguientes vulnerabilidades Cross Site Scripting attacks (XSS) Detecta directorios ocultos o backups Busca inyecciones SQL Detecta automáticamente vulnerabilidades Zero Day Realiza un fingerprint de nuestra aplicativo Web Si ZeroDayScan detecta algo en nuestro sitio Web, nos enviará vía correo electrónico, un completo informe con las vulnerabilidades encontradas, así como los pasos a seguir para corregirlas….. y todo esto TOTALMENTE GRATIS. Si tienes un sitio Web, es muy recomendable que utilices esta herramienta, para conocer el estado actual de la seguridad en tu pagina, posiblemente se demoren en enviarte el informe, pero es normal ya están procesando muchas solicitudes. Mas Información Pagina Oficial del...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática guiad@ por Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo de la Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos spam.

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Exclusivo FORO VIP de Alumnos y Ex-Alumnos donde se continúa el aprendizaje y se comparte conocimiento
  • Te entregamos un diploma de certificación por cada curso
  • Miles de ex-alumnos felices