Joven hacker sonriendo

Cero falsos positivos

Inteligencia experta + automatización eficaz

En la división de respuesta http, engañamos al navegador!

Divide y vencerás!

Dividiendo una respuesta usando CRLF

Para entender mejor el concepto de división de respuesta, es necesario que entendamos, qué es lo que ocurre cuando iniciamos una transacción http. Al iniciar, el cliente enviará un petición a través del método GET o POST con la dirección URL del objeto requerido. Posteriormente el servidor devuelve un respuesta …



Fantasma en la máquina

El Fantasma en la máquina

Qué es Spectre, y ¿deberíamos preocuparnos?

A comienzos de 2018 se dio a conocer públicamente el descubrimiento de una familia de vulnerabilidades bautizadas Spectre y Meltdown. La noticia causó gran revuelo y hasta pánico entre la comunidad tecnológica en general; pues no solo son fallas de seguridad graves por su naturaleza, sino que además afectan a …



generando cadenas text-hash

Rainbow Table, hacking o feng-shui?

Haciendo escalable la fuerza bruta

Tal vez te estes imaginando que una Rainbow Table es una pequeña y colorida tabla de madera que pones en la sala de espera de tu casa para limpiar las energías y montarte en la corriente feng shui. Pero hoy no te voy a hablar de esto. Las Rainbow Tables …



Robot con máscara de Hacker

Machine-learning para hackear

Pueden las máquinas aprender a hackear?

Para citar las vulnerabilidades de seguridad más importantes han sido encontradas a través de una audioría exhaustiva de código. Ésta es la única forma en que las vulnerabilidades pueden ser encontradas y corregidas durante el desarrollo. Sin embargo, al incrementarse las tasas de producción de software, también se...



Cara graciosa de Yoda

Nueva vulnerabilidad LibSSH

Nueva vulnerabilidad en libssh CVE-2018-10933

La nueva vulnerabilidad en LibSSH, reportada como CVE-2018-10933, reside en el código del servidor el cual permite a un cliente saltarse el proceso de autenticación y crear canales sin permiso, lo cual afecta a los servidores que utilizan versiones 6.0 y superiores que son usados en modo servidor El …



Serpiente leyendo un documento

Pars oraciones no es seguro

Utilizando intérpretes para detectar fallas

¡Nos gusta bWAPP por aquí, porque es muy defectuoso!. Hemos mostrado cómo encontrar y explotar vulnerabilidades como inyecciones SQL, recorrido de directorios, inyección XPath, e inyección de comandos UNIX. Todas ellas tienen una cosa en común, a saber: podrían haberse evitado con un poco de validación de entradas. En PHP …



Oráculo de Delphi

El Oráculo del Código

Acerca del código como datos

"La mayoría de programas son demasiado extensos para entenderlos por completo". Ésto fue en escrito en los años 80. [1] Imagina la situación hoy en día. De ahí surge la necesidad de herramientas automatizadas para ayudar en el proceso de análisis de código. La solución, de acuerdo a Oege de …



Portada del libro de XML de O'Reilly

XML: Lenguaje de Marcado eXplotable

Inyección XPath en archivos XML

Los lenguajes de marcado son "sistemas para estructurar un documento de tal forma que sea distinguible del texto." [1] ¿Qué significa eso realmente? Considero que este concepto se entendería mejor a través de ejemplos. Pero antes de empezar, una advertencia: Si utilizas algún lenguaje de marcado para almacenar...



Orion cargando a Cedalion

Pararse en los hombros de gigantes

Acerca del análisis de composición de software

En nuestro último post, fuimos capaces de reproducir el hallazgo de una vulnerabilidad en libpng. Pero esa es solo una pequeña librería, podrías decir que tiene un alcance muy limitado, y solo pesa 556 KiB. Sin embargo, muchos paquetes dependen de ella. Para conocer cuántos paquetes en el repositorio Arch …



Teorema del mono infinito

El fuzzer del mono infinito

Fuzz testing utilizando el American Fuzzy Lop

En nuestro último artículo discutimos acerca de que el fuzzing es tanto "tonto" como sorprendente. En este artículo, continuaremos explorando las posibilidades del fuzzing. En esta ocasión, nos enfocaremos en el fuzzing de aplicaciones de escritorio, específicamente las aplicaciones UNIX escritas en C. Cuando...



Fuzzy caterpillar

Fuzzy bugs en línea

Técnicas Fuzz para probar aplicaciones Web

El fuzzing web es una técnica automática computarizada para encontrar bugs y vulnerabilidades en un sistema de computación. Si piensas que proteger tu sitio, simplemente es cuestión de bloquear las peticiones maliciosas más comunes, piénsalo de nuevo, y continúa leyendo este artículo. Inyectando SQL en un sitio...



Lupa buscando insectos(bugs) en un monitor

No sé cómo probar un software

Acerca de la ejecución simbólica y concólica

En un mundo globalizado que está en constante expansión, surge la necesidad de transmitir y tratar todo tipo de información de manera constante, ágil y segura. Teniendo en cuenta esa dinámica de globalización y expansionismo, y para suplir la necesidad anteriormente descrita, se crearon los equipos de cómputo, y con …




Estado de los servicios - Términos de Uso