Técnica Fuzzing con OWASP ZAP: Profundizando en el análisis de Directory Traversal y detectando en lote archivos por defecto

OWASP ZAP brinda opciones muy útiles por defecto, pero toda herramienta de pruebas de seguridad, sobre todo los escaneadores automáticos, necesitan ser ajustadas según el tipo de aplicación que vaya a comprobarse para que los resultados  sean realmente profundos y serios. En un artículo publicado recientemente, realizaba un análisis de este particular. Las opciones por defecto…

¿Eres vulnerable a un ataque de Directory Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP

La vulnerabilidad de Directorio Transversal (más conocida por Directory o Path Traversal), ocurre cuando no hay una gestión correcta (validación, autorización) de los parámetros provenientes del lado del cliente, específicamente aquellas relacionadas con accesos a determinados archivos. Por tanto, un atacante puede manipular los puntos de entrada y construir rutas a través de las directivas…

Abierta la matrícula del postgrado de Pruebas de Penetración en Aplicaciones Web de la X Escuela Internacional de Verano de la UCI

La necesidad de socializar el conocimiento adquirido y acumulado en todo este tiempo, producto de investigaciones y resultados validados por la práctica diaria, ha hecho posible que hayamos comenzado a impartir una serie de cursos de postgrado relacionados con las pruebas de penetración, conocidas también como pentesting o hacking ético. Nuestra mayor fortaleza es que […]

Problemas del “pentesting real” según Marek Zmysłowski (II)- Se Cuidadoso, es nuestro sistema en producción

La selección del entorno correcto es fundamental para garantizar una prueba de penetración (pentesting) exitosa. A pesar de ello, como plantea Marek Zmysłowski en la conferencia Penetration Testing 7 Deadly Sins, este es el primer problema o “pecado capital” con el que tropiezan los especialistas de seguridad,  afectando negativamente los resultados del proceso. Antes de…