Padding Oracle Lab

PentesterLab ha vuelto a crear un nuevo curso/laboratorio de prácticas: Padding Oracle. Este laboratorio trata de aprovechar una vulnerabilidad en el sistema de autentificación de una web creada en PHP. La idea es aprovecharse la debilidad presentada a través de la fuga de información y la explotación de la misma. Como de costumbre, dicha práctica está disponible en forma de fichero ISO. También puedes acceder a la misma al servicio online por PentesterLab, siempre cuando tengas una cuenta Pro.
Leer más

Experto de seguridad publica en el muro de Mark Zuckerberg

Según parece un experto de seguridad palestino cuyo nombre en Facebook es Khalil, después de reportar una vulnerabilidad en Facebook, que permitiría escribir en el muro de cualquier usuario incluso no siendo amigo de éste y no ser reconocida como tal por parte del equipo de seguridad de Facebook, decidió publicar en el muro de Mark Zuckerberg el siguiente mensaje: Después de dicho acto, el equipo de seguridad le pidió a Khalil todos los detalles y después de que éste le proporcionará los mismos, Facebook reconoció la vulnerabilidad, pero no le pagarán nada por violar los términos de seguridad, aunque no le especifican que términos violó, además de bloquearle la cuenta.
Leer más

¿Escribes código seguro? (Infografía)

Fuente
Leer más

Grave fallo de seguridad en los Apple MacBook a través de la batería

Actualización (tuxotron): Aquí tenéis todos los detalles. El investigador de seguridad Charlie Miller nos explica una forma interesante de hack para el MacBook usando la batería. El portátil tiene un circuito propio que se utiliza para monitorizar y reportar al OS el estado de la batería. En los MacBook, la baterías se envían con una contraseña por defecto. Eso significa que el firmware de la batería se puede controlar para hacer muchas cosas, entre ellas destruirla usando algún tipo de malware (ese circuito que tienen los MacBook, entre otras cosas controla que no se sobrecaliente o se sobrecarge, ya sabéis por donde voy .
Leer más

¿Encarna?

¿Encarna de noche? Muchos de ustedes no habíais nacido entonces. Gran show de Martes y Trece en 1986. Para aquellos que nunca lo han visto, pueden hacerlo aquí. Bueno lo que quiero comentaros aquí es sobre un fallo de seguridad que hay rondando por ahí y dónde la polémica está servida. Os pongo en situación. El investigador de seguridad Nitesh Dhanjani, ha hecho público lo que según el considera un fallo de seguridad en iOS o más concretamente en Safari, el navegador por defecto de este sistema operativo.
Leer más

Adobe Shockwave 0day in the wild

Pues nada como dice el título hay un 0day que afecta a Adobe Shockwave player. Aquí podéis ver un vídeo de la vulnerabilidad ejecutándose, dónde vemos que el atacante gana una shell en la máquina remota. Si por alguna razón no se ve el vídeo, podéis ir este enlace o bajarlo en alta calidad desde aquí. Adobe Shockwave player rcsL chunk memory corruption 0day from Offensive Security on Vimeo.
Leer más

"Google" (un ingeniero que trabaja para ellos) publica un bug zero-day en Windows XP

Imágen: vista aquí. Un ingeniero de Google ha publicado hoy el código de un exploit para atacar una vulnerabilidad zero-day en Windows XP. Otros expertos en seguridad no están de acuerdo en la forma en que Google dicho ingeniero ha publicado el error, sólo cinco días después de notificarlo a Microsoft. ¿Tiene esto algo que ver con la reciente publicación de Google que no usará más equipos con Windows?.
Leer más

Desempolva tu metasploit

Metasploit, para aquellos que no conozcáis este extraordinario proyecto, en pocas palabras, es un repositorio de exploits listo para ser lanzados contra servicios vulnerables. Claro, aquí nos encontramos con el problema de siempre. ¿Cómo probamos ciertos exploits contra un sistema que no disponemos? Metasploit acaba de liberar un proyecto nuevo llamado, metasploitable. Éste es una imagen VMware 6.5 que contiene un sistema Ubuntu 8.04 con ciertos servicios vulnerables los cuales pueden ser explotados usando metasploit.
Leer más

Mejora tus habilidades como Pen-Tester

Actualmente no sólo los profesionales que se dedican a hacer auditorías de seguridad de aplicaciones web o redes son los únicos que deberían de conocer al menos las técnicas básicas de penetración (en sistemas informáticos!! mal pensado!) como SQL Injection o Cross Site Scripting (XSS), sino que también los responsables de un proyecto web, deberían tener un conocimiento mínimo sobre estas técnicas. De forma que puedan aplicar ciertos mecanismos de seguridad a sus aplicaciones para evitar que estas sean vulneradas.
Leer más

Cuidado con la tecla F1 de ayuda en Internet Explorer

Windows Si usas aún Windows 2000, Windows 2003 ó Windows XP, y además el navegador Internet Explorer 6,7 ó 8, ten cuidado e ignora cualquier mensaje que te diga que pulses la tecla F1 en el teclado. Esta tecla, como sabéis, activa la ayuda, pero si tienes la combinación de antes explicada de sistema operativo + navegador, tienes que ignorar este mensaje ya que pulsando dicha tecla se descarga e instala software malicioso en tu ordenador.
Leer más
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces