Joven hacker sonriendo
Serpiente leyendo un documento

Pars oraciones no es seguro

Utilizando intérpretes para detectar fallas
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta detectar,  inyección,  escáner

¡Nos gusta bWAPP por aquí, porque es muy defectuoso!. Hemos mostrado cómo encontrar y explotar vulnerabilidades como inyecciones SQL, recorrido de directorios, inyección XPath, e inyección de comandos UNIX. Todas ellas tienen una cosa en común, a saber: podrían haberse evitado con un poco de validación de entradas. En PHP …



Oráculo de Delphi

El Oráculo del Código

Acerca del código como datos
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta prueba,  aplicación,  detectar

"La mayoría de programas son demasiado extensos para entenderlos por completo". Ésto fue en escrito en los años 80. [1] Imagina la situación hoy en día. De ahí surge la necesidad de herramientas automatizadas para ayudar en el proceso de análisis de código. La solución, de acuerdo a Oege de …



Portada del libro de XML de O'Reilly

XML: Lenguaje de Marcado eXplotable

Inyección XPath en archivos XML
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta xml,  xpath,  inyección

Los lenguajes de marcado son "sistemas para estructurar un documento de tal forma que sea distinguible del texto." [1] ¿Qué significa eso realmente? Considero que este concepto se entendería mejor a través de ejemplos. Pero antes de empezar, una advertencia: Si utilizas algún lenguaje de marcado para almacenar...



Orion cargando a Cedalion

Pararse en los hombros de gigantes

Acerca del análisis de composición de software
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta prueba,  dependencia,  vulnerabilidad

En nuestro último post, fuimos capaces de reproducir el hallazgo de una vulnerabilidad en libpng. Pero esa es solo una pequeña librería, podrías decir que tiene un alcance muy limitado, y solo pesa 556 KiB. Sin embargo, muchos paquetes dependen de ella. Para conocer cuántos paquetes en el repositorio Arch …



Teorema del mono infinito

El fuzzer del mono infinito

Fuzz testing utilizando el American Fuzzy Lop
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta fuzzing,  aplicación,  probar

En nuestro último artículo discutimos acerca de que el fuzzing es tanto "tonto" como sorprendente. En este artículo, continuaremos explorando las posibilidades del fuzzing. En esta ocasión, nos enfocaremos en el fuzzing de aplicaciones de escritorio, específicamente las aplicaciones UNIX escritas en C. Cuando...



Fuzzy caterpillar

Fuzzy bugs en línea

Técnicas Fuzz para probar aplicaciones Web
Ícono de pluma Rafael Ballestas   Ícono de carpeta ataques   Ícono de etiqueta sql,  fuzzing,  inyección

El fuzzing web es una técnica automática computarizada para encontrar bugs y vulnerabilidades en un sistema de computación. Si piensas que proteger tu sitio, simplemente es cuestión de bloquear las peticiones maliciosas más comunes, piénsalo de nuevo, y continúa leyendo este artículo. Inyectando SQL en un sitio...



Lupa buscando insectos(bugs) en un monitor

No sé cómo probar un software

Acerca de la ejecución simbólica y concólica
Ícono de pluma Jhony Villa   Ícono de carpeta ataques   Ícono de etiqueta probar,  software,  funcionalidad

En un mundo globalizado que está en constante expansión, surge la necesidad de transmitir y tratar todo tipo de información de manera constante, ágil y segura. Teniendo en cuenta esa dinámica de globalización y expansionismo, y para suplir la necesidad anteriormente descrita, se crearon los equipos de cómputo, y con …



Una señal que se combina con el símbolo de Wireshark

Wireshark nos cuida

Cómo monitorear y analizar el tráfico de la red
Ícono de pluma Francisco Bernal   Ícono de carpeta ataques   Ícono de etiqueta seguridad,  monitorear,  red,  herramienta

En una empresa, las redes son los principales elementos para poder prestar un servicio. Es por esto que se debe tener un especial cuidado con ellas para que el servicio no falle, y así evitar que un servicio se suspenda. En pocas palabras, si la red de la empresa falla …



Imagen de inicio del programa Burp

Interceptando con burp

Cómo alterar las peticiones entre servidor y navegador
Ícono de pluma Alejandro Aguirre   Ícono de carpeta ataques   Ícono de etiqueta herramienta,  proxy,  interceptar

Burp Suite es un software creado por la compañia PortSwigger Web Security con el fin de proveer herramientas para los test de penetración o Penetration testing en seguridad informática. Es ampliamente usado entre la comunidad especializada en seguridad ya que sus herramientas son bastante robustas y completas,...



Diagrama de bloques mostrando el proceso de modelado de amenazas

El método de Sherlock

Modelando amenazas
Ícono de pluma Camilo Cardona   Ícono de carpeta ataques   Ícono de etiqueta sdlc,  modelar,  amenaza,  concientizar

Sherlock Holmes, el gran detective inglés, era conocido por su gran inteligencia y, más que eso, porque podía anticipar cualquier riesgo o situación embarazosa antes de tomar una decisión, desde el siguiente movimiento del enemigo en un combate, hasta las trampas que lo acechaban a él o a su compañero …



Estado de los servicios - Términos de Uso