Clik here to view.
Big Data Security Tales: Django en HUE en modo DEBUG y con Directory Listing...
Otra de las cosas que es fácil probar y localizar es esta mala configuración por defecto de Django en distribuciones de Apache Hadoop. En concreto, Django es un framework para desarrollo de...
View ArticleClik here to view.
Revisar la configuración HSTS y HPKP en el navegador de Internet para estar...
Los protocolos HSTS (HTTP Strict Tansport Security) y HPK (HTTP Public Key Pins) dotan a la navegación desde un determinado navegador de Internet a un determinado sitio web de una capa de seguridad...
View ArticleClik here to view.
Los certificados digitales que usa Apple en su CDN son de peor calidad
Estos días hemos estado desplegando nuevos plugins en nuestro servicio de pentesting persistente Faast, y para probarlos decidí revisar algunas partes de la CDN (Content Delivery Network) que utiliza...
View ArticleClik here to view.
Si usas phpMyAdmin quita el Setup de la parte pública #phpMyAdmin #PHP #MySQL...
Hoy os vengo a dejar una referencia a uno de esos archivos que si eres dueño de la web debes quitar cuanto antes, y que si eres un pentester debes meter en tu diccionario de fuzzing web (que puedes...
View ArticleClik here to view.
Estos son los ganadores de los Pwnie Awards 2016
La ceremonia de entrega de los Pwnie Awards es uno de los mejores momentos de Black Hat. Es el cierre oficial de la conferencia y justo después todo el mundo comienza a emigrar hacia la siguiente...
View ArticleClik here to view.
Entrevistas en Microsoft Sessions Latam 2016: Anatomía de un ataque
Durante este mes de Julio realicé el que ha sido mi último viaje a USA para ir a Miami a participar en una jornada de entrevistas dentro del programa Microsoft Sessions Latam 2016. Entre el grupo de...
View ArticleClik here to view.
Time-Based "Browser-Based" Cross-Site Search Attacks
Tal vez el título te pueda llevar a confusión, o tal vez parecerte un galimatías para solo tipos raros, pero la verdad es que es el más ajustado para representar una de las técnicas que fueron...
View ArticleClik here to view.
Cómo hacer un #QRCode para crear un "Boarding Pass" de Clase Business y...
Supongo que a muchos de vosotros os habrá pasado en alguna ocasión algo similar. Estas en el aeropuerto con un vuelo en Clase Turista y no puedes entrar a la sala VIP a disfrutar de la WiFi, un café o...
View ArticleClik here to view.
Un repaso al "Pentesting Persistente" 3 años después en @elevenpaths...
Han pasado poco más de tres años desde que comenzamos a trabajar en una idea que yo tenía en la cabeza: Hacer que el Pentesting no fuera un proyecto que se ejecuta cada año, sino algo que se ejecuta de...
View ArticleClik here to view.
Big Data Security Tales: Los interfaces de acceso al HDFS (Hadoop Distributed...
Uno de los elementos fundamentales de las arquitecturas Big Data basadas en Hadoop es el sistema de ficheros distribuido que montan. Tiene proyecto propio dentro de Apache Hadoop y se llama HDFS...
View ArticleClik here to view.
Prueba un sistema de Adaptive Authentication en nuestro banco @elevenpaths...
Cada día vamos añadiendo más funcionalidades a nuestro servicio Latch, y las últimas que hemos anunciado tienen que ver con cosas que ya están en producción en algunos de nuestros clientes. Hoy os...
View ArticleClik here to view.
Big Data Security Tales: Apache Amabari Default Admin #BigData #Hardening
Las distribuciones de Apache Haddop vienen con una buena cantidad de herramientas para la gestión de los repositorios de datos, pero también para la gestión de los servicios que son necesarios...
View ArticleClik here to view.
Cómo configurar Latch en la comunidad de ElevenPaths @elevenpaths #latch
Como ya os anunciamos hace un tiempo, en ElevenPaths abrimos una Comunidad Online en la que puedes participar con nosotros. Es un espacio para debatir sobre tecnologías, seguridad informática y hacking...
View ArticleClik here to view.
IMPACT TALK en la UEM Business School en Youtube
El pasado mes de Julio fui invitado por la Business School de la Universidad Europea - donde sabéis que yo soy además director externo del Máster de Seguridad - a participar en una charla dentro de un...
View ArticleClik here to view.
¿Quién dijo que en Agosto se hace el vago? Dos semanas con Eventos en Chile,...
Ya hemos llegado a la mitad justa del mes de Agosto, así que aprovechando que hoy es el día más tranquilo - probablemente - de todo el verano, os traigo solo una recapitulación de los eventos y...
View ArticleClik here to view.
RetroScope saca los mensajes de WhatsApp o Telegram de la memoria de Android...
El congreso USENIX, donde se presentó la técnica de Time-Based Browser Based Attacks para robar tus datos a Facebook, o el estudio de inseguridad del sistema de cifrado de Apple iMessage en el artículo...
View ArticleClik here to view.
Cómo Ownear Windows 7 y Windows 10 con el nuevo Bypass de UAC #Pentest...
Hace unas semanas hablábamos de un bypass para UAC en Windows 10 de la mano de Matt Graeber. Hoy es otra vez el mismo investigador el que ha publicado un nuevo método para saltarse el sistema de...
View ArticleClik here to view.
Libenom: Gestiona tus payloads de Msfvenom en Metasploit cómodamente...
Msfvenom es el actual generador de payloads para Metasploit Framework, ocupando el lugar de sus prestigiosos antecesores msfpayload y msfencode a partir del 8 de Junio del año pasado. En ocasiones...
View ArticleClik here to view.
¡Ojo con los acosadores en Tinder! En cada Match entregas tu ubicación GPS...
Debo reconocer que soy una de las víctimas de la aplicación de citas por excelencia, Tinder. Gracias a este servicio pensé que encontraría a mi pareja ideal, pero lo que no imaginé nunca es que la...
View ArticleClik here to view.
Cómo te estafan 1.282 € por un falso piso en alquiler en #AirBnB o #Idealista
En verano el mercado de los alquileres se acelera, aprovechando que muchos estudiantes finalizan sus carreras, que empleados cambian de trabajo o que la gente quiere tomarse unas largas y merecidas...
View Article