Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + automatización eficaz

generando cadenas text-hash

Rainbow Table, hacking o feng-shui?

Haciendo escalable la fuerza bruta

Tal vez te estes imaginando que una Rainbow Table es una pequeña y colorida tabla de madera que pones en la sala de espera de tu casa para limpiar las energías y montarte en la corriente feng shui. Pero hoy no te voy a hablar de esto. Las Rainbow Tables …



Robot con máscara de Hacker

Machine-learning para hackear

Pueden las máquinas aprender a hackear?

Para citar las vulnerabilidades de seguridad más importantes han sido encontradas a través de una audioría exhaustiva de código. Ésta es la única forma en que las vulnerabilidades pueden ser encontradas y corregidas durante el desarrollo. Sin embargo, al incrementarse las tasas de producción de software, también se...



Cara graciosa de Yoda

Nueva vulnerabilidad LibSSH

Nueva vulnerabilidad en libssh CVE-2018-10933

La nueva vulnerabilidad en LibSSH, reportada como CVE-2018-10933, reside en el código del servidor el cual permite a un cliente saltarse el proceso de autenticación y crear canales sin permiso, lo cual afecta a los servidores que utilizan versiones 6.0 y superiores que son usados en modo servidor El …



Serpiente leyendo un documento

Pars oraciones no es seguro

Utilizando intérpretes para detectar fallas

¡Nos gusta bWAPP por aquí, porque es muy defectuoso!. Hemos mostrado cómo encontrar y explotar vulnerabilidades como inyecciones SQL, recorrido de directorios, inyección XPath, e inyección de comandos UNIX. Todas ellas tienen una cosa en común, a saber: podrían haberse evitado con un poco de validación de entradas. En PHP …



Oráculo de Delphi

El Oráculo del Código

Acerca del código como datos

"La mayoría de programas son demasiado extensos para entenderlos por completo". Ésto fue en escrito en los años 80. [1] Imagina la situación hoy en día. De ahí surge la necesidad de herramientas automatizadas para ayudar en el proceso de análisis de código. La solución, de acuerdo a Oege de …



Portada del libro de XML de O'Reilly

XML: Lenguaje de Marcado eXplotable

Inyección XPath en archivos XML

Los lenguajes de marcado son "sistemas para estructurar un documento de tal forma que sea distinguible del texto." [1] ¿Qué significa eso realmente? Considero que este concepto se entendería mejor a través de ejemplos. Pero antes de empezar, una advertencia: Si utilizas algún lenguaje de marcado para almacenar...



Orion cargando a Cedalion

Pararse en los hombros de gigantes

Acerca del análisis de composición de software

En nuestro último post, fuimos capaces de reproducir el hallazgo de una vulnerabilidad en libpng. Pero esa es solo una pequeña librería, podrías decir que tiene un alcance muy limitado, y solo pesa 556 KiB. Sin embargo, muchos paquetes dependen de ella. Para conocer cuántos paquetes en el repositorio Arch …



Teorema del mono infinito

El fuzzer del mono infinito

Fuzz testing utilizando el American Fuzzy Lop

En nuestro último artículo discutimos acerca de que el fuzzing es tanto "tonto" como sorprendente. En este artículo, continuaremos explorando las posibilidades del fuzzing. En esta ocasión, nos enfocaremos en el fuzzing de aplicaciones de escritorio, específicamente las aplicaciones UNIX escritas en C. Cuando...



Fuzzy caterpillar

Fuzzy bugs en línea

Técnicas Fuzz para probar aplicaciones Web

El fuzzing web es una técnica automática computarizada para encontrar bugs y vulnerabilidades en un sistema de computación. Si piensas que proteger tu sitio, simplemente es cuestión de bloquear las peticiones maliciosas más comunes, piénsalo de nuevo, y continúa leyendo este artículo. Inyectando SQL en un sitio...



Lupa buscando insectos(bugs) en un monitor

No sé cómo probar un software

Acerca de la ejecución simbólica y concólica

En un mundo globalizado que está en constante expansión, surge la necesidad de transmitir y tratar todo tipo de información de manera constante, ágil y segura. Teniendo en cuenta esa dinámica de globalización y expansionismo, y para suplir la necesidad anteriormente descrita, se crearon los equipos de cómputo, y con …



Una señal que se combina con el símbolo de Wireshark

Wireshark nos cuida

Cómo monitorear y analizar el tráfico de la red

En una empresa, las redes son los principales elementos para poder prestar un servicio. Es por esto que se debe tener un especial cuidado con ellas para que el servicio no falle, y así evitar que un servicio se suspenda. En pocas palabras, si la red de la empresa falla …



Imagen de inicio del programa Burp

Interceptando con burp

Cómo alterar las peticiones entre servidor y navegador

Burp Suite es un software creado por la compañia PortSwigger Web Security con el fin de proveer herramientas para los test de penetración o Penetration testing en seguridad informática. Es ampliamente usado entre la comunidad especializada en seguridad ya que sus herramientas son bastante robustas y completas,...




Estado de los servicios - Términos de Uso