La Comunidad DragonJAR

Existen multitud de aplicaciones para revisar la seguridad de una página web. Las pruebas las puedes realizar de manera manual o bien las puedes lanzar una aplicación que lance unos testeos sobre la aplicación, cabe decir que lanzar una de estas herramientas no garantiza que se hayan probado todas las vulnerabilidades.

Hoy os traigo una aplicación que se llama Arachni y que me ha gustado mucho por el diseño que tiene y la configuración que le puedes hacer a la herramienta.

La herramienta la descargamos de aquí:

http://www.arachni-scanner.com/download/

La herramienta como digo le han cuidado la parte gráfica y tendremos un bonito espacio web desde el que podremos hacer las pruebas pertinentes.

Una vez que hayamos bajado arachni, lo iniciamos por consola para que levante el servidor web.

Como veis nos ha levantado un servidor web en local, accedemos para ver que nos encontramos.

Antes de iniciar Arachni, es recomendable que os leáis el README, pues ahí especifica el usuario y password de administrador para que podamos acceder a la aplicación.

Iniciamos sesión y lo primero es que creemos un usuario con el que poder trabajar.

Ya tenemos el usuario creado, accedemos con él y la aplicación ya podrá identificarnos.

Ahora que ya tenemos nuestro usuario lo que haremos será empezar un nuevo escaneo.

Aquí tenemos para seleccionar varias cosas, la web a la que lanzaremos el scaner, que profile escogeremos, por defecto viene XSS y SQL Injection.

Rellenamos los datos y lanzamos el scaner, nos irá mostrando los resultados.

Como veis es bastante bonito

Una vez que acabe nos mostrará abajo los resultados y nos mostrará el CVE y todo

Podemos configurar en la herramienta mas módulos de escaneo aquí tenemos la prueba.

Pero sin duda de lo que mas me ha gustado es el report generado.

Arachni, puede formar parte perfectamente entre tus herramientas de auditoría mas usadas.

Las inyecciones de código son las vulnerabilidades mas comunes encontradas en las aplicaciones web, estos problemas de seguridad llevan muchos años con nosotros, pero son tan recurrentes que por muchos años han ocupado el primer puesto en el TOP 10 Fallos de Seguridad en Aplicaciones Web que realiza OWASP.

Leer más…

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones.

Es importante señalar que existen más ataques, los cuales no figuran en la presentación. Leer más…

X5S es una herramienta desarrollada por la empresa de seguridad Casaba, con la finalidad de ayudar a los desarrolladores web a encontrar vulnerabilidades o problemas de seguridad en sus aplicaciones.

Con X5S tendremos a la mando una cantidad de utilidades que nos permitirán agilizar el proceso de detección y manipulación de parámetros mal filtrados, causantes de la mayoría de problemas en las aplicaciones web, también nos permite automatizar pruebas para verificar si los campos de entrada o parámetros de nuestra aplicación son vulnerables a fallos como XSS,LFI, RFI. Leer más…

Cuando se administra un servidor Web, uno de los puntos claves a tener en cuenta es la seguridad tanto de los servicios como de los aplicativos alojados en el, ya que si no contamos con buenas medidas de seguridad, dichos aplicativos, podría ser la puerta de entrada a nuestra organización de un delincuente informático.

Desafortunadamente, son pocos los administradores que cuentan con conocimientos en seguridad Web y es por esto que día a día se ven casos de instrucciones en donde los sitios Web fueron el débil eslabón por medio del cual ingresaron a los sistemas de una organización. Leer más…

Google acaba de lanzar un nuevo curso en línea para el diseño y desarrollo de aplicaciones Web, con este, que los programadores aprenderán a evitar los errores comunes de seguridad que se presentan en las aplicaciones web y que pueden llevar a la creación de vulnerabilidades en sus sitios.

El curso, que es parte del proyecto Google Code University, se basa en el concepto de aplicaciones de tipo Twitter, denominada Jarlsberg, un programa que Google liberó para este fin. Conocido como “Web Application Exploits and Defenses,” desde el cual se da la oportunidad de visualizar el funcionamiento interno de una aplicación insegura, analizar las vulnerabilidades y aprender de los errores de programación que generaron estas fallas. Leer más…

Gracias a un mensaje de Tom Brennan, me entero de un problema en el Administrador de Contraseñas del Mozilla Firefox, que permite a un atacante mediante XSS (Cross-site scripting) obtener la clave de un usuario almacenada en el navegador.

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar. Leer más…

Una de las aplicaciones mas comunes utilizadas en los sitios web,  son las películas y clics hechos en Adobe Flash (antes de Macromedia),  animaciones, slideshows  y anuncios publicitarios en este formato, están a la orden del día por toda la red. La facilidad con la que se crean y la gran cantidad de documentación sobre el uso de Flash, a colaborado para que su uso se extienda a millones de sitios web.

A pesar de ser una herramienta muy útil,  personalmente pienso que esta sobreutilizada y que tiene gran cantidad de defectos, como no poder ser indexados adecuadamente en los buscadores,  la cantidad de recursos que consume cuando se utiliza para visualizar película s o vídeos online,  a esta lista de desventajas, ahora hay que sumarle un nuevo fallo de seguridad, descubierto por el investigador MustLive y publicado en su sitio websecurity.com.ua. Leer más…