Clik here to view.
El "caso" del fingerprinting al SQL Server 7 de Microsoft
Como sabéis, nuestra Foca As A Service by Telefonica (Faast) es uno de mis juguetes preferidos, así que siempre me paso revisando los resultados y haciendo de beta tester malo, malo, maligno de las...
View ArticleClik here to view.
Un HTTP Redirect no te libra de securizar un servidor web
Una de las formas sencillas para "quitar" un servidor web de Internet es la de la redirección del tráfico hacia otro servidor web. Este sistema te permite seguir aprovechándote de todo el tráfico que...
View ArticleClik here to view.
Montar un escenario de Hacking IPv6 por 2 €
Ya se han comenzado a publicar en vídeo las charlas que componen el XII Ciclo de Conferencias TASSI, que podéis ver en la web de CriptoRed. Entre las charlas, nuestro compañero de Eleven PathsRafael...
View ArticleClik here to view.
Proyecto No Encontrado: Dona tu mensaje de Error HTTP
Quienes hemos participado activamente en distintas ONG sabemos el esfuerzo personal y económico que eso implica para tratar de brindar algo a la comunidad o a la sociedad en general. Muchas veces las...
View ArticleClik here to view.
Metasploit: Hookear con NetRipper los navegadores para robar las contraseñas...
En la pasada Defcon 23 se liberó una aplicación denominada NetRipper. Esta aplicación es una herramienta de post-explotación que permite interceptar el tráfico de red y, por ejemplo, es capaz de...
View ArticleClik here to view.
TIC Forum Ecuador 2016: Eventos en Quito y Guayaquil
Hace tiempo que no visito Ecuador, así que ya tocaba regresar para participar en algunas conferencias allá. Esta vez, además, voy a estar en las ciudades de Quito y Guayaquil, formando parte del TIC...
View ArticleClik here to view.
Riesgos de Seguridad en los "Connected Hospitals": Se murió por un conflicto...
Suelo decir en muchas conferencias que no hay segundas oportunidades para proteger los datos de los clientes. Suelo decir eso, porque cuando se produce una filtración de la la información que una...
View ArticleClik here to view.
Dorking and Pentesting en Apps de AppStore
Ya son muchos los artículos que he escrito y las charlas que he dado sobre el uso de Tacyt para hacer dorking y pentesting a empresas usando la información de las apps que tienen publicadas. Durante...
View ArticleClik here to view.
SMTP STS: SMTP Strict Transport Security
El correo electrónico es uno de los servicios más antiguos y arraigados en Internet. De hecho, el protocolo SMTP disfruta de tener como Well-Known Port el número 25, dejando claro que cuando nació este...
View ArticleClik here to view.
MrLooquer #IPv6: Un buscador de servicios sobre IPv6 en Internet para...
Una de las cosas que cualquier aficionado a las redes de computadores conoce es el amplio espacio de direccionamiento disponible en IPv6, concretamente 128 bits. Puede que a alguien le parezca un...
View ArticleClik here to view.
No publiques tus certificados digitales en tus apps
Como ya os avancé en otro post, Tacyt está almacenando en el Big Data ahora mismo apps tanto del mundo iOS como del mundo Android, para que los analistas de seguridad puedan investigar en este mundo...
View ArticleClik here to view.
El derecho a la privacidad en mi lista de derechos
Ya he hablado en muchas ocasiones de este tema, pero como me parece que aún quedan detalles que discutir y repasar, he decidido dedicarle este artículo de reflexión personal, largo, detallado y dejando...
View ArticleClik here to view.
Eleven Paths Talks: Una serie de webcasts tecnológicos
Una de las acciones que hemos comenzado a realizar en Eleven Paths ha sido la planificación de un calendario de seminarios online sobre seguridad informática y tecnología a la que hemos llamado Eleven...
View ArticleClik here to view.
Eventos, conferencias y cursos del 1 al 15 de Abril
Esta semana que tenemos por delante aún tiene actividades del mes de Marzo, como el Curso online de Análisis Forense, la conferencia sobre Gobernanza en Internet que impartirá nuestro compañero en...
View ArticleClik here to view.
SubResource Integrity (SRI): Fortifica tu web contra ataques al contenido que...
Durante el mes de Agosto de 2014 le dediqué una entrada a los riesgos de cargar contenido de terceros en tu web. Desde problemas como el Hotlinking o el RSS Injection, hasta poder sufrir ataques como...
View ArticleClik here to view.
SIDU: Un Database Web GUI para escanear servidores
Este domingo por la noche no conseguía dormirme con la vuelta al trabajo por lo que aproveché para revisar algunas cosas en Internet. Esta vez le tocó el turno a los ataques a cadenas de conexión de...
View ArticleClik here to view.
Fortificación de comunicación entre Wordpress y MySQL: Evitar los ataques de...
En varios artículos hemos hablado de cómo hacer ataques de Network Packet Manipulation a entornos de bases de datos. Hablamos de cómo ownear MySQL colocándonos en medio de la comunicación del cliente y...
View ArticleClik here to view.
CROZONO: Uso de drones y robots en tests de intrusión
No es de extrañar que cuando escuchemos hablar de una intrusión a un sistema informático imaginemos a una persona sentada frente a su computadora llevando a cabo tales acciones. Siendo realistas, es...
View ArticleClik here to view.
Security Headers & SRI Test: Para los bookmarks
Cuando estas revisando la seguridad de la infraestructura expuesta en Internet de una organización, como hacemos nosotros con Faast, se deben revisar todos los detalles. Fugas de información,...
View ArticleClik here to view.
Inicia sesión y cambia la p@$$w0RD!.
En muchas plataformas, el sistema que se utiliza para recuperar una contraseña se basa en entregar una password temporal. No es la mejor opción, ya que un usuario puede decidir no cambiarla, y por eso...
View Article