La tabla periódica del diseño web

Periodic Table of Web Design Process – created by New Design Group
Leer más

Mejora tus habilidades de penetración... ¡web!

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc. Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
Leer más

Guía de fortificación y seguridad de servidores web Apache

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de internet. Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador. Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.
Leer más

Retos BlueHat de Microsoft

Inspirado en los retos de cifrado de Matasano, Microsoft ha creado una serie de retos basados en ingeniería inversa, descubrimiento de vulnerabilidades y trucos de manipulación del navegador web a nivel de diseño. Éste último la verdad que no tengo muy claro de que va. Los retos están abierto a cualquiera que lo desee. Para participar tienes mandar un email a [email protected] y en el mensaje debes incluir [reverse], [vulns] o [web], dependiendo de a los retos que te quieres suscribir.
Leer más

Más explotación web

Los chicos de Pentesterlab.com nos vuelven a deleitar con otro curso guiado sobre penetración web. Web for pentester es un curso para principiantes donde podrás aprender los siguientes conceptos: Las máquinas virtuales las tienes en su versión de 32 y 64 bits.
Leer más

Cómo perder peso en el navegador

El rendimiento de una aplicación web es fundamental. Al usuario no le gusta esperar y cada vez que acceda a tu aplicación web y se mueva por ella, quiere que sea amigable, de utilidad obviamente y por supuesto que sea rápida. Por ahí afuera puedes encontrar cientos o miles de sitios con trucos y buenas prácticas para hacer que tu sitio web responda lo más rápido posible. En browserdiet.com se han juntado un grupo de expertos de grandes empresas y proyectos, como Google, Twitter, Opera, etc.
Leer más

LAMPSecurity Training

LAMPSecurity Training es un sistema diseñado con ciertas vulnerabilidades, cuyo objetivo es el de educar/enseñar/aprender seguridad en aplicaciones web. Viene en forma de máquina virtual (742.6 Mb) que puedes ejecutar desde VMWare player o VirtualBox entre otros. En la web del proyecto también podemos encontrar un fichero PDF con 43 páginas, dónde nos explican como debemos lanzar la imagen, además de cómo usar ciertas herramientas como Nikto, W3af o Zap.
Leer más

Despliega tu aplicación web vulnerable en la nube

Cada vez vamos moviéndonos más hacia la nube nos guste o no. Como todo en la vida, tiene sus pros y sus contras. En esta ocasión os vamos a hablar de una plataforma llamada hack.me, que nos permite desplegar nuestras aplicaciones web vulnerables. La idea es crear una aplicación web con ciertas vulnerabilidades, subirlas al servidor y hacerlas públicas o no. Desarrollando aplicaciones vulnerables te ayudará a entender mejor dichas vulnerabilidades, por lo que al mismo tiempo te ayudará a comprender como evitar dichas vulnerabilidades y por lo tanto a escribir código seguro.
Leer más