Si administras un CMS debe interesarte la alerta elaborada por la Public Safety Canada y el U.S. Department of Homeland Security

Haciendo una búsqueda hoy lunes, sobre metodologías para la realización de pruebas de penetración, encontré la alerta TA13-024A titulada “Content Management Systems Security and Associated Risks”, elaborada por la Public Safety Canada  y el U.S. Department of Homeland Security en el 2014 y actualizada en octubre del 2015. Contiene recomendaciones muy concretas y sencillas que…

Determinando si la tecnología base tiene vulnerabilidades con CVE Details. Casos de estudio con Drupal 6.38 y 7.37.

Las aplicaciones web dependen de muchos componentes para lograr un correcto funcionamiento. El código fuente que escriben los programadores del equipo de proyecto para crear un producto es solo una parte de todo el sistema informático. Influye también el servidor HTTP que utilicemos, los framework de desarrollo, los CMS, el sistema gestor de bases de…

Complemento de Shodan para Firefox y Chrome

Ayer lunes estaba haciendo algunas búsquedas y casualmente encontré un complemento de Shodan (wikipedia) para Firefox que me resultó muy útil. La idea base es disponer de un botón con un acceso directo en el navegador que permite acceder a la información que tiene indexada Shodan sobre la aplicación Web en la que estamos navegando.…

Cuando un código numérico se expresa mejor que mil palabras…

El protocolo HTTP contiene un sistema de códigos de respuestas que informan lo ocurrido con la petición enviada. Saber interpretar estos códigos, más allá del mensaje explícito, es una herramienta importante para consultor de seguridad durante un pentesting. Hay cinco grupos de códigos estándares y todos tienen el formato XYZ. La X establece a que…

La magia de Wappalyzer

Wappalyzer es un plugin para los navegadores Firefox y Chrome que permite identificar las tecnologías bases de las páginas Web que visitamos. Fue desarrollado por Elbert Alias, un programador australiano y cuya información se encuentra en el siguiente enlace. Básicamente realiza un análisis de las etiquetas, metadatos y encabezados que son recibidas por el navegador…