Network Security Toolkit (NST) es una LiveCD con herramientas de seguridad de red. Esta LiveCD está basada en una distribución Fedora 11 y la mayoría de las herramientas de seguridad de red que la integran se encuentran en el Top 100 Security Tools de insecure.org.
Publicado el 30 mar, 2012
Publicado el 27 mar, 2012
Guía I – Introducción y recomendaciones generales de seguridad
Hoy vamos a empezar con la guía de seguridad y desarrollo seguro del software como he prometido. En esta primera entrada nos vamos a centra en una pequeña introducción a las aplicaciones web y recomendaciones generales de seguridad.
Para cada vulnerabilidad descrita cada semana cuenta con los siguientes elementos y estructura; Ficha de vulnerabilidad, descripción, ejemplos, recomendaciones, consecuencias, formas de protegerse y recomendaciones especificas del lenguaje.
Publicado el 20 mar, 2012
Análisis de seguridad y optimización en servidores apache
Los servidores web apache son los más utilizados en red, por ello son hoy los elegidos para hablar de nociones de seguridad y otros conceptos necesarios para una buena compresión de seguridad y análisis sobre apache. De este modo vamos aumentar el nivel de seguridad del servicio, tratando de ofrecer al supuesto atacante tantas barreras como nos sea posible, así tendrá menos probabilidades de conseguir su objetivo.
Para evitar todo tipo de vulnerabilidades a nivel del servicio la mejor solución es estar siempre al día, es decir, tener instalada siempre la última versión del software y sus módulos, o asegurarse de haber aplicados los parches a cada uno de los bugs que se han ido descubriendo.
Publicado el 13 mar, 2012
Protegiendo el acceso de usuarios a nivel web
Aplicaciones con autenticación de acceso de usuario, o incluso cualquier sistema que incluya un form, es un “iman” para ataques de denegación de servicio y ataques automatizados de fuerza bruta. Quiero explicar y dar unos consejo sobre como solventar este tipo de problema, todo a nivel técnico y recomendaciones, ya que no puedo presentar ejemplos y códigos, simplemente porque cada sistema es un mundo; lenguaje de programación, manías de cada desarrollador, plataformas, etc…
La mayoría parecen lógicos y son evidentes, pero creerme que no se suelen tener en cuenta en el desarrollo, el mero hecho de que “funciona”, en la mayoría de los escenarios ya se sienten satisfechos.
Publicado el 12 mar, 2012
Cross Site Scripting, conceptos básicos y casos prácticos
Tras el Cross Site Scripting detectado en WordPress, muchos usuarios me han solicitado más información sobre este tipo de ataques. Ya era algo que tenia en mente y he escrito un pequeño paper explicando esta vulnerabilidad con casos prácticos.
Con todo esto pretendo ir realizando poco a poco una biblioteca con papers para cada una de las principales vulnerabilidades, voy a dar un pequeño avance ya que todo apunta a que el siguiente va ser ataques de remote/local file inclusión.
Publicado el 11 mar, 2012
Cross Site Scripting Persistente en la gestión de comentarios de WordPress 3.3.1
Realizando pruebas durante esta semana y jugando con mi nuevo blog, ayer mismo por la noche al editar un comentario con el usuario administrador observe que desde el panel de administración de comentarios de WordPress no se valida correctamente las entradas de datos, resultando en un Cross Site Scripting Persistente.
Tras una búsqueda por Google observe que Jonathan Claudius ha publicado una nota de seguridad (o advisory) en la que presenta graves vulnerabilidades que afectan al gestor de contenidos WordPress, para versiones 3.3.1 y anteriores.