Los dispositivos móviles son parte del ecosistema computacional en el que convivimos cotidianamente. El balance creciente de una relación positiva de calidad/precio, sobre todo en el segmento de gama baja y media-baja, junto a su portabilidad y facilidad de uso, han hecho posible que el tráfico de Internet generado por humanos se realice fundamentalmente a…
Cuando unas semanas atrás busqué en Calibre algún tecno-thriller que pudiera distraerme un poco, no pensé encontrarme con un libro tan extraordinario como El Huevo del Cucu de Clifford Stoll. Había visto el título en varias ocasiones, incluso creo que en mi época de estudiante tropecé con su portada en alguna ocasión, posiblemente en Internet,…
Durante una prueba de intrusión debe comprobarse hasta qué punto podría automatizarse la recolección masiva de datos públicos en la aplicación web. Parece contradictorio que los datos públicos puedan afectar la seguridad de nuestros sistemas, pero no lo es tanto si tenemos en cuenta la economía del esfuerzo: mientras menor sea la superficie de ataque…
Los proyectos PHP están expuestos, como toda tecnología informática, a la presencia de vulnerabilidades en su base tecnológica. La rama y versión de PHP empleada es un importante referente pero no el único. También es necesario conocer que vulnerabilidades han sido descubiertas en los paquetes y librerías utilizadas. Los editores de Cybersecurity Ventures y Herjavec…
La Guía de Pruebas de OWASP (OWASP Testing Guide) versión 4, fue publicada en el año 2014. Es un esfuerzo del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) por recopilar y estructurar todas las posibles pruebas de seguridad enfocadas en las aplicaciones web. esta dividida en 11 fases y más de 100 pruebas de…
Ayer martes 16, fue liberada la versión 4.7.5 de WordPress que corrige seis vulnerabilidades que afectan a la versión 4.7.4 y anteriores. Puedes descargarla del siguiente enlace. WordPress recomienda encarecidamente la actualización a esta nueva versión lo antes posible, así como otras entidades gubernamentales como el INCIBE, el cual lo ha clasificado como una alerta…
«El mundo está bajo un ciberataque masivo, WannaCry, el Skynet de nuestra era, despertó de su letargo binario y debemos tener a mano nuestro kit de supervivencia pues todo lo que conocemos dejará de existir.» Esto es un resumen de lo que podemos leer en la prensa planetaria. Incluso tenemos hasta una nueva variante llamada…
La Guía Técnica para Evaluaciones y Pruebas de Seguridad de la Información NIST SP 800-115 (Technical Guide to Information Security Testing and Assessment), fue publicada en septiembre del 2008 por el Instituto Nacional de Estándares y Tecnología (NIST) del gobierno de los EE.UU. Describe las pautas sobre como debe realizarse una Evaluación de Seguridad de…
El OWASP Top 10 refleja un consenso global sobre los riesgos más críticos en Aplicaciones Web. Es uno de los principales esfuerzos del Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP por sus siglas en inglés) y su objetivo es concientizar a los especialistas y a la sociedad, en sentido general, sobre estos problemas. Desde…
Solo empiezas a comprender lo que significa ser un programador cuando interactúas con el primer stakeholder que te pide entregar un software en 3 días cuando en realidad sabes bien que lleva como mínimo 3 meses de arduo trabajo. Ahí es donde te preguntas: ¿Pensarán realmente que programar es como jugar Solitario pero en la…
OWASP ZAP brinda opciones muy útiles por defecto, pero toda herramienta de pruebas de seguridad, sobre todo los escaneadores automáticos, necesitan ser ajustadas según el tipo de aplicación que vaya a comprobarse para que los resultados sean realmente profundos y serios. En un artículo publicado recientemente, realizaba un análisis de este particular. Las opciones por defecto…
La vulnerabilidad de Directorio Transversal (más conocida por Directory o Path Traversal), ocurre cuando no hay una gestión correcta (validación, autorización) de los parámetros provenientes del lado del cliente, específicamente aquellas relacionadas con accesos a determinados archivos. Por tanto, un atacante puede manipular los puntos de entrada y construir rutas a través de las directivas…
La necesidad de socializar el conocimiento adquirido y acumulado en todo este tiempo, producto de investigaciones y resultados validados por la práctica diaria, ha hecho posible que hayamos comenzado a impartir una serie de cursos de postgrado relacionados con las pruebas de penetración, conocidas también como pentesting o hacking ético. Nuestra mayor fortaleza es que […]
Burp Suite es una excelente herramienta para la ejecución de pruebas de seguridad en aplicaciones Web. Su desarrollador es PortSwigger Ltd, empresa del Reino Unido y el portal oficial del producto lo puedes encontrar en portswigger.net/burp. Burp Suite es una herramienta mucho más completa que OWASP ZAP pero también más compleja de utilizar por la…
¿Cual es el papel de las herramientas en una prueba de penetración? ¿Es un escaneo de seguridad un pentesting? Esta es la tercera entrega de la serie dedicada a analizar la ponencia que realizó Marek Zmysłowski sobre los problemas que el encontraba en su trabajo como especialista de seguridad. Trataremos de dar respuesta a estas…
Behique Digital 