OWASP Top Ten Project

  • June 13, 2013
  • tuxotron
    • ologo.png

    Después de un tiempo en versión Release Candidate de la que nos habló Chema Alonso, finalmente ya ha sido publicada la lista definitiva de los 10 mayores problemas de seguridad en aplicaciones web de 2013 . Este año la lista definitiva es la siguiente:

    • A1 Injection (Inyección)
    • A2 Broken Authentication and Session Management (Manejo de sesiones y autenticación rota)
    • A3 Cross-Site Scripting (XSS)
    • A4 Insecure Direct Object References (Referencia directa a objectos insegura)
    • A5 Security Misconfiguration (Errores de configuración)
    • A6 Sensitive Data Exposure (Exposición de datos sensibles)
    • A7 Missing Function Level Access Control (Falta de control de nivel a de acceso a funciones)
    • A8 Cross-Site Request Forgery (CSRF)
    • A9 Using Known Vulnerable Components (Uso de componentes vulnerables)
    • A10 Unvalidated Redirects and Forwards (Falta de validación de redirecciones)
    Podéis acceder al informe completo en formato PDF o a través de su wiki.

Nuevo tutorial en PentesterLab

  • June 13, 2013
  • tuxotron
    • from_sqli_to_shell_II.png

    PentesterLab nos deleitan con un nuevo tutorial sobre inyección de SQL. En este caso llamado From SQL injection to the shell II.

    En el mismo aprenderemos:

    • Explotación por inyección de SQL a ciegas usando explotación basada en el tiempo (Blind SQL injection exploitation using time-based exploitation)
    • Ejecución de código usando una shell web PHP
    Como en los tutoriales anteriores, se nos provee: Todo lo que necesitas es:
    • Software de virtualización
    • Buen conocimiento de SQL
    • Buen conocimiento de HTTP
    • Conocimiento básico de PHP
    • Ganas y tiempo :)

Ataques por fuerza bruta en iOS con Teensy

  • June 10, 2013
  • tuxotron
    • DSC02750.jpg

    Teensy es un dispositivo USB programable, que entre otras cosas se puede usar para emular un teclado.

    Con un dispositivo Teensy 3.0, han conseguido poder hacer un ataque por fuerza bruta a la pantalla de restricción en iOS, concretamente en un iPad (parece ser que no se puede conectar un teclado externo a un iPhone). En dicha pantalla de restricción, cuando introduces el código PIN incorrectamente varias veces, el sistema inhabilita el teclado virtual, 1 minuto, 5 minutos, 15 minutos, etc por cada intento fallido, pero el problema o más bien vulnerabilidad surge cuando la entrada se hace por un teclado externo.

    En este caso la prueba de concepto está hecha, como decíamos antes, con un dispositivo Teensy 3.0. En la prueba de concepto, el autor manda cada 3 segundos un nuevo código. El autor no dado detalles de la prueba de concepto, pero podemos ver un vídeo a continuación cuyo código es 0015:

    Según el autor en el peor de los casos le llevaría algo más de 8 horas en encontrar el código correcto, aunque a mi las cuentas me salen en algo más de 15 horas (10000 intentos x 3 segundos = 30000 segundos = 800 minutos = 15.5 horas), pero como no sabemos los detalles del mismo lo mismo son 8 horas. De todas formas 8 o 15 horas es un tiempo razonable.

    Fuente

Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces