Cómo deshabilitar el XML-RPC en WordPress (Apache y Nginx)

El siguiente tutorial explica como deshabilitar la funcionalidad XML-RPC en WordPress, para evitar la realización de ataques de fuerza bruta amplificados contra nuestros sitios a través del método system.multicall. Las directivas de acceso mostradas, en teoría, deben ser similares para la mayoría de los CMS que utilizan XML-RPC y son desplegados en servidores web Apache…

Experiencias con Kali 2016.2 (I)

Kali 2016.2 es una distribución de GNU/Linux especializada en Pentesting e Informática Forense. No es la única de su tipo, otras como BackBox, Parrot Security o BlackArch, por solo citar algunos ejemplos, persiguen el mismo objetivo. Por supuesto, ya imaginaras cual es mi distro preferida. Está basada en Debian y tiene entornos de escritorio como…

Análisis de la shellcode IndoXploit

La explotación de vulnerabilidades en aplicaciones web no constituye un fin mismo para los ciberdelincuentes. El verdadero objetivo del ataque se manifiesta en la etapa de post-explotación, donde se ejecuta el código dañino definitivo, más conocido por el término payload o carga útil en español. Las shellcode son un tipo de payload muy utilizado en…

Proyecto OWASP KALP

A modo de referencia de bolsillo, el proyecto OWASP KALP nos brinda la facilidad de contar con la información de los Top 10 riesgos de seguridad de las aplicaciones web y móviles. La arquitectura de información es simple y directa. Su diseño adaptable permite que los contenidos se visualicen muy bien en dispositivos con diferentes…

Convite ao curso Teste de Invasão em Aplicações Web

Um Teste de Invasão, é um método de avaliação da segurança de um sistema de computador ou rede , simulando um ataque de estranhos mal-intencionados (que não têm um meio autorizada de acessar os sistemas da organização) e insiders maliciosos (que têm algum nível de acesso autorizado). O processo envolve uma análise ativa do sistema…