Cyberhades

Er docu der finde: Supercoches - Tesla

Mejora tus habilidades de penetración... ¡web!

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc.

Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.

Análisis estático de código en scripts de Bash

Una de las opciones de las que dispone Bash es la opción -n, que hace un análisis sintáctico de un script y nos alerta de errores en nuestro script.

Muchas veces, cometemos errores que no son sintácticos, sino más bien por desconocimiento o despiste podemos escribir código que sintácticamente es correcto, pero la ejecución del mismo no es lo que realmente esperamos del mismo.

Una buena referencia sobre este tipo de errores, errores comunes que se cometen en la programación de scripts Bash es Bash Pitfalls. Dónde concretamente nos dan 44 ejemplos de errores comunes con su correspondiente explicación.

Guía de fortificación y seguridad de servidores web Apache

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de internet.

Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador.

Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.

Domingo por la mañana, Múm, When Girls Collide

Spotify & GrooveShark

Múm

Presentaciones de la Virus Bulletin 2013

El pasado 2 - 4 de octubre se celebró en Berlín otra conferencia sobre seguridad informática enfocada más al tema del malware: VB2013 - Virus Bulletin 2013 (no, no es Visual Basic!). Esta es la 23 edición de esta conferencia.

Las presentaciones que se dieron ya están disponibles para descarga. La lista es la siguiente

Corporate stream

Andreas Lindh ('Surviving 0-days - reducing the window of exposure')
Sabina Datcu ('Targeted social engineering attacks. Sensitive information, from a theoretical concept to a culturally defined notion')
Michael Johnson ('Make it tight, protect with might, and try not to hurt anyone')
Randy Abrams & Ilya Rabinovich ('Windows 8 SmartScreen application control - what more could you ask for?')
Axelle Apvrille ('Analysis of Android in-app advertisement kits')
Vanja Svajcer ('Classifying PUAs in the mobile environment')
Roman Unuchek ('Malicious redirection of mobile users')
Craig Schmugar ('Real-world testing, the good, the bad, and the ugly')
Ciprian Oprisa & George Cabau ('The ransomware strikes back')
Jarno Niemela ('Statistically effective protection against APT attacks')
Sergey Golovanov ('Hacking Team and Gamma International in "business-to-government malware"')

Technical stream

Carsten Willems & Ralf Hund ('Hypervisor-based, hardware-assisted system monitoring')
James Wyke ('Back channels and bitcoins: ZeroAccess' secret C&C communications')
Xinran Wang ('An automatic analysis and detection tool for Java exploits')
Rowland Yu ('GinMaster: a case study in Android malware')
Samir Mody ('"I am not the D'r.0,1d you are looking for": an analysis of Android malware obfuscation')
Farrukh Shazad ('The Droid Knight: a silent guardian for the Android kernel, hunting for rogue smartphone malware applications')
Fabio Assolini ('PAC - the Problem Auto-Config (or "how to steal bank accounts with a 1KB file")')
Samir Patil ('Deciphering and mitigating Blackhole spam from email-borne threats')
Evgeny Sidorov ('Embedding malware on websites using executable webserver files')
Amr Thabet ('Security research and development framework')

'Last-minute' technical papers

Gabor Szappanos ('Hide and seek - how targeted attacks hide behind clean applications')
Ross Gibb ('Lessons learned: sinkholing a peer-to-peer botnet')
Dennis Batchelder & Hong Jia ('Working together to defeat attacks against AV automation')

Libros, libros y más libros

En Github se ha creado un repositorio nuevo, el cual no contiene ningún tipo de programa o aplicación sino cientos de enlaces a libros gratuitos principalmente sobre programación.

Una de las ventajas de usar Github (en realidad cualquier repositorio de control de versiones) es que es muy fácil bajarnos (clonar) el repositorio completo. Otra gran ventaja de este método es la colaboración. Se hace muy fácil el poder añadir nuestros propios enlaces y hacer una petición para que se incorporen al repositorio principal.

Er docu der finde: CIA, operaciones clandestinas

Presentaciones de la HITBSECCONF Malaysia 2013

Las presentaciones de la Hack In The Box Security Conference (HITBSECCONF) 2013 celebrada en Malasia han sido publicadas.

Las lista de las diapositivas es la siguiente:

Vídeo tutoriales para aprender Git

Aquí os dejo una serie de vídeo tutoriales cortos y concisos para aquellos que queráis aprender git: