Buenas, dejando por una vez la VoIP a un lado, hoy toca hablar de seguridad en Node (Node.js® / io.js). Con el implacable crecimiento de JavaScript en el lado del servidor cada vez es mayor el número de servicios que aprovechan las ventajas de este entorno. Especialmente los relacionados con la web (ej: Express, Hapi, etc), que además se están utilizando con éxito en producción atendiendo a millones de usuarios cada día.

A lo que vamos, en mi trabajo como programador, cuando tenía que securizar una aplicación de este tipo tocaba tirar de diapositivas de algunas conferencias, diversos posts, etc. Por este motivo empecé a pensar que era el momento de revisar como aplicarían las vulnerabilidades más comunes de la web en este entorno.

En una primera investigación rápida para ver si existía algún proyecto relacionado al que poder contribuir me encontré con ... Continuar leyendo

Estoy seguro de que los que nacisteis el siglo pasado, antes de la instauración de la “era internet” habéis escuchado de vuestros mayores los siguientes consejos: “No hables con desconocidos“, “No aceptes caramelos de personas que no conozcas“, “No te subas al coche de un extraño“, “No abras la puerta a nadie mientras te encuentres solo en casa”.

Eran otros tiempos en los que los padres nos educaban sobre los peligros a los que estaríamos expuestos si entablábamos relaciones con “desconocidos”.

Hoy sin embargo con Internet la cosa ha cambiado, abrimos la “puerta” de nuestra casa a cualquiera, inconscientes de los peligros a los que nos exponemos o simplemente porque no queremos verlos, y lo peor de todo, con nuestra “desidia”, exponemos a los peligros de la red nuestros menores.

¿Cuántas veces habréis “obligado” a vuestros hijos a que se fuesen a jugar a la habitación y de esa forma poder estar relajados en... Continuar leyendo

      Vender en Internet, al igual que comprar, es tan seguro como nosotros mismos queramos establecer nuestro nivel de seguridad.

      Al igual que los ciberdelincuentes pueden aprovechar el “mercado online” para lanzar su caña y vender falsos productos que nunca llegarán, también se aprovechan de los confiados vendedores para hacerles caer en sus engaños.

      Esta entrada surge a petición de un lector del Blog, Yandel, que propone la temática en un comentario a la publicación sobre Conceptos Básicos de Seguridad en Ventas Online, y como este Blog es por y para vosotros, que menos que, al menos,... Continuar leyendo

Como ya os he contado muchas veces, llevo tiempo jugando con cómo sacar el máximo de información a los mensajes de error configurados por defecto en los servidores web de una organización. Esta es una pieza que utilizamos en nuestro sistema de pentesting para localizar qué infraestructura hay por detrás. Encontrar respuestas a situaciones de error no controladas por los administradores de un sitio web pueden ayudar a conocer mucho más en detalle el software que da soporte al servicio y cómo está montado en esa implantación en concreto.

En esta ocasión pasé un rato jugando con los Errores HTTP 405, que básicamente se producen cuando se solicita la ejecución de un método HTTP que no está soportado por el recurso que se solicita. Para ello, utilizando el Repeater de Burp puedes configurar algo tan sencillo como un POST a un recurso que no tenga habilitado el método en concreto. Para... Continuar leyendo

      De los “padres” del SPAM o correo basura llegan…

      El correo electrónico, a pesar de los años desde su aparición, sigue siendo una de las principales vías utilizadas por los “Spammers” para lanzar una campaña agresiva de publicidad.

      El SPAM resulta una actividad muy lucrativa para sus responsables, pues a un solo clic de ratón consiguen hacer llegar la publicidad de sus productos a miles de usuarios, solo necesitan conocer las cuentas de correo electrónico de “esos miles de usuarios”.

.

      Usuarios que previamente habrán facilitado sus datos de contacto, de forma... Continuar leyendo

En este post les comentaré mi experiencia como Ethical Hacker, participando en distintos Bug Bounty Programs.

Comencé buscando fallas de seguridad sobre aplicaciones Web de compañías que sabía, no pagarían por las vulnerabilidades encontradas. Pero mi primer objetivo, era obtener respuestas a mis reportes por parte de las empresas a las cuales informaba sobre las fallas de seguridad que iba encontrando, aunque no pagaran por mi trabajo y el tiempo invertido.

En base al interés que demostraban por ciertas vulnerabilidades, siendo que algunas no eran interesantes para la mayoría como por ejemplo, un Null Byte Injection, que nos puede llegar a mostrar que versiones de servidores web y sistemas operativos están siendo utilizados, apuntaba hacia aquellas vulnerabilidades por las cuales había mayor interés.
Hay una frase que dice: "No aprendas a hackear, hackea para aprender."
Y claro está que mi tiempo estaba siendo bien invertido, era una muy... Continuar leyendo

"ISIS va por ti". El FBI está advirtiendo a los usuarios y administradores de WordPress que actualicen/parcheen sus plugins vulnerables porque el ISIS los está utilizando para mostrar mensajes pro-ISIS.

Según el FBI, los simpatizantes de ISIS están apuntando a sitios WordPress, a plataformas de comunicación de entidades comerciales, organizaciones de noticias, gobiernos federales/estatales y locales, instituciones religiosas, gobiernos extranjeros y un sin número de sitios web nacional e internacional. Los objetivos parecen ser al azar y no están vinculados a nombres particulares o negocios.

Los atacantes son simpatizantes y partidarios de ISIS (también conocido como ISIL) pero no son miembros de la organización terrorista. Son personas en su mayoría inexpertos y no están haciendo mucho esfuerzo, sólo aprovechando los plugins de WordPress con defectos conocidos y utilizando herramientas conocidas. Por lo general, estas vulnerabilidades ya han sido... Continuar leyendo

MSBuild, la plataforma de construcción de Visual Studio y .Net Platform, es ahora de código abierto, lo que configura la más reciente adopción del movimiento de código abierto por parte del gigante del software.

MSBuild o Microsoft.Build, que se encuentra disponible en GitHub y ha contribuido con la .Net Foundation, sirve como plataforma para construir aplicaciones. Es el motor por defecto para Visual Studio y la comunidad .Net en la plataforma Windows.
"Al invocar msbuild.exe en su proyecto o archivo de solución, uno puede orquestar y construir productos en ambientes en donde no se encuentra instalado Visual Studio. Por ejemplo, MSBuild es utilizado para construir las.Net Core Libraries y proyectos de código abierto de .Net Core Runtime", sostuvo Rich Lander de Microsoft en una ... Continuar leyendo

Dani Grant, becaria de producto en BuzzFeed, compartió en su blog el descubrimiento de una falla de seguridad en el sistema de pases de abordar de Delta y otras aerolíneas. Esta consiste en que cualquier persona puede acceder a los datos de un pase de abordar vía web con sólo tener su URL.
Grant pensó correctamente que, si enviaba la URL de su pase de abordar a alguien, ese destinatario podría abrirlo sin problema alguno. El identificador del pase en la URL consiste sólo en un número, por lo que, al modificarlo, se podía ver el pase de otras personas.

Con este acceso se puede hacer check-in por la persona en cuestión, ver su número de viajero frecuente, modificar su asiento y potencialmente cambiar su vuelo. Por otra parte, no es posible modificar el nombre del pasajero, por lo que es imposible robar el pase de abordar sin una identificación falsa.

La respuesta inicial de Delta fue indiferente, enviando a Grant un mensaje genérico donde la compañía ofrece... Continuar leyendo