Técnica Fuzzing con OWASP ZAP: Profundizando en el análisis de Directory Traversal y detectando en lote archivos por defecto

OWASP ZAP brinda opciones muy útiles por defecto, pero toda herramienta de pruebas de seguridad, sobre todo los escaneadores automáticos, necesitan ser ajustadas según el tipo de aplicación que vaya a comprobarse para que los resultados  sean realmente profundos y serios. En un artículo publicado recientemente, realizaba un análisis de este particular. Las opciones por defecto…

¿Eres vulnerable a un ataque de Directory Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP

La vulnerabilidad de Directorio Transversal (más conocida por Directory o Path Traversal), ocurre cuando no hay una gestión correcta (validación, autorización) de los parámetros provenientes del lado del cliente, específicamente aquellas relacionadas con accesos a determinados archivos. Por tanto, un atacante puede manipular los puntos de entrada y construir rutas a través de las directivas…

Problemas del “pentesting real” según Marek Zmysłowski (I)- Introducción

Cuando preparaba las primeras conferencias iniciales sobre Pruebas de Penetración, conocidas también como Pentesting, tuve la suerte de encontrar en Internet la presentación “Penetration Testing 7 Deadly Sins” del especialista en consultorías de Seguridad Marek Zmysłowski. En ese momento me ayudó a comprender como enfocar una conferencia sobre este tema y a conocer algunas experiencias…

Experiencias con Kali 2016.2 (I)

Kali 2016.2 es una distribución de GNU/Linux especializada en Pentesting e Informática Forense. No es la única de su tipo, otras como BackBox, Parrot Security o BlackArch, por solo citar algunos ejemplos, persiguen el mismo objetivo. Por supuesto, ya imaginaras cual es mi distro preferida. Está basada en Debian y tiene entornos de escritorio como…

Proyecto OWASP KALP

A modo de referencia de bolsillo, el proyecto OWASP KALP nos brinda la facilidad de contar con la información de los Top 10 riesgos de seguridad de las aplicaciones web y móviles. La arquitectura de información es simple y directa. Su diseño adaptable permite que los contenidos se visualicen muy bien en dispositivos con diferentes…