Nos hacemos eco del lanzamiento de la versión 5.6.10, la versión 5.5.26 y la versión 5.4.42 de PHP.

Estas nuevas versiones de cada rama solventan varios bugs y vulnerabilidades que corrigen fallos tanto en el núcleo como en sus componentes, por lo que se recomienda actualizar las versiones anteriores.

Se acaba de publicar una versión catalogada como de seguridad y mantenimiento para la rama 3.1 del popular sistema de foros phpBB.

Esta actualización soluciona varios problemas de seguridad, corrige errores... Continuar leyendo

Como ya os he contado muchas veces, llevo tiempo jugando con cómo sacar el máximo de información a los mensajes de error configurados por defecto en los servidores web de una organización. Esta es una pieza que utilizamos en nuestro sistema de pentesting para localizar qué infraestructura hay por detrás. Encontrar respuestas a situaciones de error no controladas por los administradores de un sitio web pueden ayudar a conocer mucho más en detalle el software que da soporte al servicio y cómo está montado en esa implantación en concreto.

En esta ocasión pasé un rato jugando con los Errores HTTP 405, que básicamente se producen cuando se solicita la ejecución de un método HTTP que no está soportado por el recurso que se solicita. Para ello, utilizando el Repeater de Burp puedes configurar algo tan sencillo como un POST a un recurso que no tenga habilitado el método en concreto. Para... Continuar leyendo

El sábado 30 de mayo realice una pequeña charla con los chicos de GR2Dest en la que hablé sobre anonimato con TOR y pentesting contra servicios ocultos. En dicha charla me centre especialmente en actividades de pentesting contra servicios ocultos en la red de TOR y si bien es cierto que no es algo complicado, creo que muchas personas no saben o no entienden como hacerlo. Por ese motivo me he animado a escribir un par de artículos explicando la forma en la que puedes utilizar algunas de las herramientas de pentesting más habituales para atacar los servicios ocultos que se encuentran en la red de TOR. Este es el primero de ellos, espero que sea de tu agrado y te resulte informativo.

Antes de comenzar, intentaré aclarar algunas cuestiones que son importantes sobre TOR. Tal como mencionaba en el artículo ataca un servicio oculto si te atreves los servicios ocultos en TOR se registran en las autoridades de directorio, donde cada registro se incluye en una tabla hash que se... Continuar leyendo

En este post les comentaré mi experiencia como Ethical Hacker, participando en distintos Bug Bounty Programs.

Comencé buscando fallas de seguridad sobre aplicaciones Web de compañías que sabía, no pagarían por las vulnerabilidades encontradas. Pero mi primer objetivo, era obtener respuestas a mis reportes por parte de las empresas a las cuales informaba sobre las fallas de seguridad que iba encontrando, aunque no pagaran por mi trabajo y el tiempo invertido.

En base al interés que demostraban por ciertas vulnerabilidades, siendo que algunas no eran interesantes para la mayoría como por ejemplo, un Null Byte Injection, que nos puede llegar a mostrar que versiones de servidores web y sistemas operativos están siendo utilizados, apuntaba hacia aquellas vulnerabilidades por las cuales había mayor interés.
Hay una frase que dice: "No aprendas a hackear, hackea para aprender."
Y claro está que mi tiempo estaba siendo bien invertido, era una muy... Continuar leyendo

Akamai Technologies, proveedor global en servicios de CDN (Content Delivery Network – Red de Entrega de Contenidos), anuncia la disponibilidad del Informe de Seguridad – Estado de Internet del Primer Trimestre de 2015. El informe de este trimestre que ofrece un análisis y visión sobre el panorama global de amenazas de ataques a la seguridad de la nube, puede descargarse en www.stateoftheinternet.com/security-report.

En el informe del primer trimestre de 2015, hemos analizado miles de ataques DDoS (Denegación de Servicio Distribuido) observados en la red PLXrouted así como millones de disparadores de ataques a aplicaciones web en la red Akamai Edge. Al aportar datos sobre ataques a aplicaciones web, junto con informes detallados procedentes de nuestros equipos de investigación en seguridad, podemos ofrecer una visión más holística de Internet y de los ataques que ocurren a diario. Éste es nuestro mayor y mejor informe de seguridad hasta la fecha. Este... Continuar leyendo

Cuando se trata de educación siempre voy a estar compartiendo con todos ustedes lo mejor, y para aquellas personas que por algún motivo no están estudiando en la Universidad, les informo que precisamente esta web y mi blog personal Cacharreros de la Web, están hechos para que usted aprenda, comparta, enseñe, estudie y se divierta haciendo lo que mas le gusta en Internet.

Hoy en día ya no es un problema estudiar lo que deseemos, solo dependerá de la disciplina y de las ganas que nosotros tengamos para hacerlo. Gracias a Internet, pero no solo a Internet, sino a las miles de personas que se encargan de compartir sus conocimientos, hoy en día la red se convierte en la aula virtual más importante de todo el mundo. Y aunque allí también podemos encontrar contenido que no nos beneficia para nada, solo dependerá de nosotros darle un buen uso a esta importante herramienta. Así que si quieres aprender algo solo ve y búscalo, que allí lo encontrarás casi todo.

Yo... Continuar leyendo

Entre los muchos cambios que ha generado la tecnología tenemos el hecho de que hoy en día casi todas nuestras tareas las podemos hacer desde la comodidad de nuestras casas gracias a Internet, por ejemplo realizar transacciones o consultar información en nuestro banco, algo que anteriormente podía tomarnos un buen tiempo en filas y carreras de un lado a otro.

Para algunas personas esto es algo muy positivo ya que les permite aprovechar mejor su tiempo y optimizar su manera de vivir, pero para otras todo es negativo ya que se sienten asustadas de confiar su seguridad a este tipo de tecnologías donde siempre están a la defensiva de que algo malo les pueda pasar, pero al final lo importante es aprender a utilizar las herramientas que se nos brindan de la manera correcta.

Los bancos han tenido que adaptarse a las nuevas tecnologías y han desarrollado plataformas que garanticen a sus usuarios una seguridad y confianza como si en el mismo banco se encontraran, por ejemplo, si... Continuar leyendo

No cabe duda de que Microsoft esta dando un giro completo a su tradicional concepto de ofrecer software de pago, privativo y que solo funcione en Windows, pues con los últimos movimientos y lanzamientos que ha hecho no deja de sorprender a todos aquellos que le siguen de cerca sus pasos.

Seguramente nadie se imagino que en algún momento Microsoft hiciera el lanzamiento de algún software que funcionara en Linux, uno de sus rivales directos en el mundo de los sistemas operativos, o para Mac OS quien durante años ha sido su eterno rival, pero para fortuna del mundo tech esto ya es una realidad y así lo han dejado ver con uno de sus recientes anuncios, con el que han roto todos los esquemas a los que nos tenían acostumbrados.

Microsoft Visual Studio Code es un completo editor de código, totalmente gratuito y disponible para utilizar en sistemas Windows, Linux y OS X.

... Continuar leyendo