Joven hacker sonriendo
Serpiente leyendo un documento

Pars oraciones no es seguro

Utilizando intérpretes para detectar fallas
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta detectar,  inyección,  escáner

¡Nos gusta bWAPP por aquí, porque es muy defectuoso!. Hemos mostrado cómo encontrar y explotar vulnerabilidades como inyecciones SQL, recorrido de directorios, inyección XPath, e inyección de comandos UNIX. Todas ellas tienen una cosa en común, a saber: podrían haberse evitado con un poco de validación de entradas. En PHP …



logo CEH, Certified ethical hacker

CEH: El comienzo de la travesía

Experiencias sobre la certificación CEH
Ícono de pluma Santiago Muñoz   Ícono de carpeta certificaciones   Ícono de etiqueta certificaciones,  ethical hacking,  seguridad,  pentesting

A diferencia de muchas certificaciones del enfoque Red Team, que miden las habilidades de forma práctica como OSCP y OSWP, existen también muchas que evalúan el conocimientode forma teórica, como CEH. En este artículo, plasmaré mi recorrido a lo largo de mi primer viaje en el camino de las certificaciones …



Pepinillos en un frasco

Gherkin con esteroides

Cómo documentar vectores de ataque detallados
Ícono de pluma Rafael Ballestas   Ícono de carpeta documentación   Ícono de etiqueta documentación,  vector,  software

En el campo de la seguridad informática y el ethical hacking encontrar todas las vulnerabilidades es tan importante como reportarlas lo más rápido posible. Para ello, necesitamos un medio efectivo para comunicarnos con todos los interesados en el proyecto. Anteriormente habíamos propuesto utilizar el lenguaje de...



Candado de bicicleta con palabras

Réquiem por un p455w0rD

Porqué las contraseñas tipo frase son mejores
Ícono de pluma Rafael Ballestas   Ícono de carpeta identidad   Ícono de etiqueta password,  credenciales,  seguridad

Qué preferirías tener para la puerta de tu casa: Una sencilla y débil llave que necesita ser cambiada cada dos semanas? o una única llave cruciforme de última generación, virtualmente imposible de forzar? Figura 1. Comparación de llaves de Locksmith Ledger. Esa es justo la diferencia entre cambiar periódicamente...



logo SQRL, Secure +QR+ Login

Una ardilla contra el mundo

Ventajas de SQRL sobre las contraseñas convencionales
Ícono de pluma Santiago Muñoz   Ícono de carpeta identidad   Ícono de etiqueta seguridad,  criptografía,  protocolo,  autenticación

SQRL, por sus siglas en inglés (Secure Quick Reliable Login), apodado Squirrel, es una solución potencial a los problemas asociados con el uso del modelo más popular de autenticación (usuario/contraseña) en los sitios web, pasando al uso de códigos QR seguros y firmas criptográficas entre el dominio y el …



Logo de OSWP

El retorno al camino: OSWP

Experiencias sobre la certificación OSWP
Ícono de pluma Camilo Cardona   Ícono de carpeta certificaciones   Ícono de etiqueta red team,  wireless,  certificaciones,  offensive

Este no es el fin…solo el comienzo. Si han seguido mi primer artículo sobre certificaciones, sabrán que ha terminado con una frase que va más o menos como la anterior. Es por ello que quiero compartir la segunda parte de la historia. La historia que espero, al menos, se …



Oráculo de Delphi

El Oráculo del Código

Acerca del código como datos
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta prueba,  aplicación,  detectar

"La mayoría de programas son demasiado extensos para entenderlos por completo". Ésto fue en escrito en los años 80. [1] Imagina la situación hoy en día. De ahí surge la necesidad de herramientas automatizadas para ayudar en el proceso de análisis de código. La solución, de acuerdo a Oege de …



Portada del libro de XML de O'Reilly

XML: Lenguaje de Marcado eXplotable

Inyección XPath en archivos XML
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta xml,  xpath,  inyección

Los lenguajes de marcado son "sistemas para estructurar un documento de tal forma que sea distinguible del texto." [1] ¿Qué significa eso realmente? Considero que este concepto se entendería mejor a través de ejemplos. Pero antes de empezar, una advertencia: Si utilizas algún lenguaje de marcado para almacenar...



Orion cargando a Cedalion

Pararse en los hombros de gigantes

Acerca del análisis de composición de software
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta prueba,  dependencia,  vulnerabilidad

En nuestro último post, fuimos capaces de reproducir el hallazgo de una vulnerabilidad en libpng. Pero esa es solo una pequeña librería, podrías decir que tiene un alcance muy limitado, y solo pesa 556 KiB. Sin embargo, muchos paquetes dependen de ella. Para conocer cuántos paquetes en el repositorio Arch …



Persona jugando ajedrez contra un brazo mecánico

¿Las Máquinas nos reemplazarán?

Detección automática vs detección manual
Ícono de pluma Andres Cuberos   Ícono de carpeta filosofía   Ícono de etiqueta aplicación,  detectar,  vulnerabilidad,  escáner

Han pasado más de 20 años desde que Garry Kasparov, el campeón mundial de ajedrez, fue derrotado por Deep Blue, la supercomputadora diseñada por IBM. Ese evento fue, para muchos, la prueba de que las máquinas habían logrado superar la inteligencia humana [1]. Muchas inquietudes surgieron producto de esa creencia …



Teorema del mono infinito

El fuzzer del mono infinito

Fuzz testing utilizando el American Fuzzy Lop
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta fuzzing,  aplicación,  probar

En nuestro último artículo discutimos acerca de que el fuzzing es tanto "tonto" como sorprendente. En este artículo, continuaremos explorando las posibilidades del fuzzing. En esta ocasión, nos enfocaremos en el fuzzing de aplicaciones de escritorio, específicamente las aplicaciones UNIX escritas en C. Cuando...



logo OSCP, certificación

Una dosis de Offsec: OSCP

Experiencias y consejos sobre la certificación OSCP
Ícono de pluma Camilo Cardona   Ícono de carpeta certificaciones   Ícono de etiqueta red team,  pentesting,  certificaciones,  offensive,  examenes,  seguridad

En el mundo de la seguridad informática existen toda clase de certificaciones, para todas las áreas, sea cual sea tu enfoque, Red team o Blue team. Certificaciones que evalúan tus conocimientos de forma teórica como CEH o GIAC GPEN y otras que evalúan tus habilidades bajo la práctica tales como …



Página 1 de 6

Estado de los servicios - Términos de Uso