La Comunidad DragonJAR

Google, esa empresa que todos conocemos y que tarde o temprano odiaremos, acaba de anunciar un nuevo producto llamado Skipfish, nada mas y nada menos que un escaner de Vulnerabilidades para aplicaciones web totalmente gratuito y de código abierto.

Segun Google Skipfish no solo es mas rápido que cualquier otra herramienta de su tipo, sino que ademas tiene menos “falsos positivos” y su interfaz es mucho mas sencilla que las demás. Leer el resto de la entrada »

Wapiti es un escáner de vulnerabilidades para aplicaciones web, licenciado bajo la GPL v2 , que busca fallos XSS, inyecciones SQL y XPath, inclusiones de archivos (local y remota), ejecución de comandos, inyecciones LDAP, inyecciones CRLF, para que pongamos a prueba la seguridad de nuestras aplicaciones web y podamos corregirlas.

El listado de vulnerabilidades detectadas es el siguiente: Leer el resto de la entrada »

En el foro ElHacker.net sacaron adelante un proyecto destinado a realizar auditorías de seguridad a nivel WEB sobre el popular software de foros SMF 2.0 (Simple Machines Forum) con la finalidad de que sus desarrolladores puedan crear cada día un software mas robusto y seguro, esta auditorio dio como resultado mas de 40 fallos de seguridad encontrados, un posible backdoor que los responsables de SMF tenían en el código.

Entre los fallos encontrados existen 3 con peligrosidad alta (uno de ellos permite ejecución remota de código), 14 con un nivel de peligro medio (en su mayoría ataques del tipo XSS) y en resto de los fallos tienen un nivel de peligrosidad bajo o nulo. Leer el resto de la entrada »

Labs.DragonJAR.org es un espacio gestionado por 4v4t4r, en el que se desarrollan constantemente laboratorios de seguridad informática y sus diferentes ramas, estos excelentes contenidos son desconocidos por la mayoría de usuarios, ya que se limitan al foro, el portal y no exploran a fondo todo lo que tenemos para ofrecer en La Comunidad DragonJAR, con el objetivo de difundir mas estos contenidos, les dejo un indice de todos los laboratorios realizados hasta la fecha en labs.dragonjar.org, espero que los disfruten.

Leer el resto de la entrada »

Les traigo una nueva entrega de los vídeo tutoriales creados por Dinosaurio sobre diferentes herramientas y técnicas utilizadas en el campo de la seguridad informática, en esta ocasión la temática del tutorial es sobre escaneo básico, uso de NMap, GFI Languard  y reconocimiento de banners.

Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos TCP y UDP atribuido a Fyodor. Se usa para evaluar la seguridad de sistemas informáticos, así como para descubrir servicios o servidores en una red informática.

GFI LANguard Network Security Scanner es un escaner de vulnerabilidades que detectar, accesorio y rectificar cualquier vulnerabilidad dentro de nuestra red, en sí hace auditoría de redes, hace uso del chequeo de vulnerabilidades basado en OVAL y SANS, provee mas de 15,000 vulnerabilidades en la red, tiene todo lo necesario para escaneo multiplataforma, instala parches en todas las máquinas y en diferentes idiomas (en el vídeo se utiliza la versión 2.0 de este software que es la incluida en backtrack). Leer el resto de la entrada »

Seguimos con la serie de vídeo tutoriales creados por Dinosaurio sobre diferentes herramientas y técnicas utilizadas en el campo de la seguridad informática, en esta ocasión les traigo un vídeo donde aprenderemos a instalar, configurar y poner en marcha el escaner de vulnerabilidades gratuito mas famoso, Nessus.

Nessus es un programa de escaneo de vulnerabilidades gratuito (desde su versión 3.0 dejo de ser open source, pero existe un fork llamado openvas basado en la rama 2.x que si es libre),  que permite testear la seguridad de nuestros servidores, tiene a su disposicion una gran cantidad de plugins que aumentan su utilidad y se actualiza constantemente.

Baseline Security Analyzer es una herramienta de Microsoft que permite examinar equipos basados en Windows para buscar configuraciones de seguridad incorrectas comunes y genera informes de seguridad individuales por cada equipo que examina, con todos los productos microsoft pero sus reportes son muy pobres cuando ponemos a prueba la seguridad de aplicaciones desarrolladas por terceros. Leer el resto de la entrada »

AntiChat es un proyecto ruso que lleva varios años recopilando información en vídeo sobre vulnerabilidades, fallos y seguridad informática en general, hace algunos meses esta un poco inactivo pero no deja de ser una buena fuente de información y en formato multimedia. Leer el resto de la entrada »