Play XML Entities, ejercicio de explotación

Una vez más la fantástica web pentesterlab ha creado otro laboratorio práctico dónde podemos pasar un buen rato aprediendo/mejorando nuestras habilidad sobre seguridad en aplicaciones web. Una vez más la aplicación vulnerable está construida sobre el framework Play. En este caso exponen una vulnarabilidad (que ya ha sido corregida) que se aprovecha de un error en el procesado de documentos XML. El ejercicio se basa en el robo de ficheros del sistema aprovechando la vulnerabilidad mencionada anteriormente.
Leer más

Inyección de sesiones en el framework Play

Play es un framework que facilita el desarrollo rápido de aplicaciones web escritas en Java y/o Scala. Es una “copia” de Ruby on Rails, que tan famoso hizo a Ruby en el desarrollo web. Play Session Injection es otro de los magníficos tutoriales prácticos creado por los chicos de PentesterLab. El ejercicio se basa en explotar la forma en que Play manejaba las sesiones web. Play, actualmente ya no es vulnerable a este tipo de ataques, al menos, no de la forma en el que es explotado en este ejercicio, pero como siempre, podemos descargarnos una máquina virtual con todo preparado para hacer nuestras pruebas incluyendo una versión vulnerable de Play, así como un PDF que nos sirve de guía.
Leer más

Ejercicio práctico: desde la inyección de SQL hasta el terminal, versión PostgreSQL

¿Os acordáis de la entrada Ejercicio práctico: desde la inyección de SQL hasta el terminal? Pues el equipo de Pentesterlab, los creadores del origen de la misma, han vuelto a hacer los mismo pero con un pequeño cambio: la base de datos en el servidor a atacar es PostgreSQL. Aunque la idea de una inyección de sql es la misma, dependiendo de la base de datos con la que tengamos que lidiar, sí que hacen que los detalles del ataque sean distintos.
Leer más

Ejercicio práctico: desde la inyección de SQL hasta el terminal

Nada como un ejercicio práctico para aprender por uno mismo. En cuestiones de explotación de aplicaciones web nada como jugar a algún wargame, montarte tu propio sistema vulnerable y buen libro, asistir a alguna clase con algún laboratorio de prácticas, etc o buscarte algún tutorial por la web. Este último, es el caso de este ejercicio práctico titulado: From SQL Injection to shell, cuya traducción sería más o menos: Desde la inyección de SQL hasta el terminal.
Leer más
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces