La tabla periódica del diseño web

Periodic Table of Web Design Process – created by New Design Group
Leer más

Mejora tus habilidades de penetración... ¡web!

Al final, todas las aplicaciones web tienen la misma base y estructura. Todas están basada en peticiones GET o POST (PUT y DELETE en aplicaciones REST) sobre HTTP/S, procesado en el servidor, renderizado del código HTML devuelto por el servidor en el navegador, ejecución de javascript, manejo de cookies, etc. Esa es la base de cualquier aplicación web sin importar el lenguaje en el que está escrita y todo auditor de seguridad de aplicaciones web debe conocer y manejar dichos conceptos con soltura.
Leer más

Guía de fortificación y seguridad de servidores web Apache

De acuerdo con Netcraft, a día de hoy Apache sigue siendo el rey en servidores web y por lo tanto el más usado a través de internet. Es por ello, que también sea seguramente el más atacado por la cuota de mercado que ocupa. Por lo que tener un servidor Apache bien configurado es una tarea obligatoria para cualquier administrador. Esta guía recientemente publicada nos ayuda con esta tarea. Trata desde el filtrado de información, hasta la configuración de los ficheros logs, pasando por la autorización, seguridad en aplicaciones web, configuración de SSL y Mod Security.
Leer más

Los arqueólogos de Internet, reconstruyendo páginas web perdidas

Primer ratón (Fuente: Wikipedia) Un estudio de Technology Review revela un hecho, que aunque suene un poco sensacionalista, es totalmente cierto: Internet se está perdiendo. La conclusión es que los datos se pierden con una media del 11% en un año y 27% en dos. Al hablar de webs perdidas por supuesto se incluyen por ejemplo foros de discusión, post de bloggers, etc, además de páginas web de todo tipo.
Leer más

Retos BlueHat de Microsoft

Inspirado en los retos de cifrado de Matasano, Microsoft ha creado una serie de retos basados en ingeniería inversa, descubrimiento de vulnerabilidades y trucos de manipulación del navegador web a nivel de diseño. Éste último la verdad que no tengo muy claro de que va. Los retos están abierto a cualquiera que lo desee. Para participar tienes mandar un email a bhchall@microsoft.com y en el mensaje debes incluir [reverse], [vulns] o [web], dependiendo de a los retos que te quieres suscribir.
Leer más

Más explotación web

Los chicos de Pentesterlab.com nos vuelven a deleitar con otro curso guiado sobre penetración web. Web for pentester es un curso para principiantes donde podrás aprender los siguientes conceptos: Basics of Web Basics of HTTP Detection of common web vulnerabilities: Cross-Site Scripting SQL injections Directory traversal Command injection Code injection XML attacks LDAP attacks File upload Basics of fingerprinting El curso viene acompañado de un documento PDF con 106 páginas, más una máquina virtual especialmente preparada para seguir el documento anteriormente mencionado.
Leer más

Cómo perder peso en el navegador

El rendimiento de una aplicación web es fundamental. Al usuario no le gusta esperar y cada vez que acceda a tu aplicación web y se mueva por ella, quiere que sea amigable, de utilidad obviamente y por supuesto que sea rápida. Por ahí afuera puedes encontrar cientos o miles de sitios con trucos y buenas prácticas para hacer que tu sitio web responda lo más rápido posible. En browserdiet.com se han juntado un grupo de expertos de grandes empresas y proyectos, como Google, Twitter, Opera, etc.
Leer más

LAMPSecurity Training

LAMPSecurity Training es un sistema diseñado con ciertas vulnerabilidades, cuyo objetivo es el de educar/enseñar/aprender seguridad en aplicaciones web. Viene en forma de máquina virtual (742.6 Mb) que puedes ejecutar desde VMWare player o VirtualBox entre otros. En la web del proyecto también podemos encontrar un fichero PDF con 43 páginas, dónde nos explican como debemos lanzar la imagen, además de cómo usar ciertas herramientas como Nikto, W3af o Zap.
Leer más

Despliega tu aplicación web vulnerable en la nube

Cada vez vamos moviéndonos más hacia la nube nos guste o no. Como todo en la vida, tiene sus pros y sus contras. En esta ocasión os vamos a hablar de una plataforma llamada hack.me, que nos permite desplegar nuestras aplicaciones web vulnerables. La idea es crear una aplicación web con ciertas vulnerabilidades, subirlas al servidor y hacerlas públicas o no. Desarrollando aplicaciones vulnerables te ayudará a entender mejor dichas vulnerabilidades, por lo que al mismo tiempo te ayudará a comprender como evitar dichas vulnerabilidades y por lo tanto a escribir código seguro.
Leer más