Blogs

Demostración de Inyección SQL utilizando WebGoat

  • Posted on: 13 November 2014
  • By: ReYDeS

Una inyección SQL es una técnica utilizada para manipular servicios web enviando consultas SQL a un sistema gestor de bases de datos relacional (RDBMS), para alterar, insertar, o borrar datos en una base de datos.

Para el siguiente ejemplo se utilizará las versión 5.4 de WebGoat, WebGoat es una aplicación web J2EE deliveradamente insegura, diseñada para enseñar lecciones de seguridad en aplicaciones web. En cada lección, el usuario debe demostrar su conocimiento en un tema de seguridad explotando una vulnerabilidad real en la aplicación WebGoat.

Configurar un Shell Inverso SSH

  • Posted on: 12 November 2014
  • By: ReYDeS

Después de comprometer satisfactoriamente un objetivo de evaluación y tener una cuenta, el realizar acciones utilizando una conexión con netcat incrementa la probabilidades de detección por los mecanismos de seguridad implementados, como un IDS (Intrusion Detection System) o IPS (Intrusion Prevention System). Para evitar o minimizar las probabilidades de ser detectados se requiere configurar un túnel cifrado. Para el presente ejemplo se utilizará SSH.

Se tiene un shell inverso utilizando netcat en el sistema comprometido.

Explotar Vulnerabilidad de Twiki en Metasploitable 2

  • Posted on: 11 November 2014
  • By: ReYDeS

Explotar vulnerabilidades internas es un método efectivo para elevar privilegios en un objetivo de evaluación, pero esto solo es posible con la obtención de un acceso local previo. Sin embargo a través de un ataque remoto es factible explotar alguna vulnerabilidad para obtener acceso interno en el objetivo de evaluación.

Elevar Privilegios Explotando Vulnerabilidad de udev en Metasploitable 2

  • Posted on: 10 November 2014
  • By: ReYDeS

El escalado o elevación de privilegios es una tarea amplia, esto a razón de la diversidad de aproximaciones factibles de ser utilizadas para obtener acceso como usuario Administrador o root. Una de las tácticas para elevar privilegios implica buscar por vulnerabilidades adicionales en el sistema desde una perspectiva interna. Esto implica cualquier tipo de acceso al sistema, aunque este acceso tenga autorización limitada, es factible explotar vulnerabilidades.

Para el siguiente ejemplo se utilizará la Máquina Virtual de nombre “Metasploitable 2”

Métricas Ambientales de CVSS - Common Vulnerability Scoring System

  • Posted on: 6 November 2014
  • By: ReYDeS

Diferentes ambientes pueden tener una inmensa influencia sobre el riesgo poseído por una vulnerabilidad para una organización y las partes interesadas. El grupo de métricas ambientales de CVSS captura las características de una vulnerabilidad asociada con el ambiente TI del usuario. Ya que las métricas del ambiente son opcionales, cada una de ellas incluye un valor de métrica sin influencia sobre la puntuación. Este valor es utilizado cuando el usuario percibe la no aplicabilidad de una métrica particular y desea “saltarla”.

Potencial Daño Colateral (CDP)

Métricas Temporales de CVSS - Common Vulnerability Scoring System

  • Posted on: 5 November 2014
  • By: ReYDeS

La amenaza poseída por una vulnerabilidad puede cambiar con el tiempo. Tres de tales factores capturados por el CVSS son: confirmación sobre los detalles técnicos de la vulnerabilidad, el estado de remediación de la vulnerabilidad, y la disponibilidad del código del exploit u otras técnicas. Dado lo opcional de las métricas temporales, pueden incluir un valor de métrica la cual no tiene efecto sobre la puntuación. Este valor es utilizado cuando el usuario percibe la no aplicación de una métrica y desea “saltar” sobre esta.

Explotabilidad

Métrica Base de CVSS - Common Vulnerability Scoring System

  • Posted on: 4 November 2014
  • By: ReYDeS

El grupo de métrica base captura las características de una vulnerabilidad constante con el tiempo y a través de ambientes de usuario. El Vector de Acceso, Complejidad de Acceso y Métricas de Autenticación capturan como la vulnerabilidad es accedida y si se requieren o no condicionales adicionales para explotarla. La métrica de impacto mide como una vulnerabilidad, si es explotada, podría directamente afectar un activo de TI, donde los impactos son definidos independientemente como el grado de perdida de confidencialidad, integridad y disponibilidad.

Introducción a CVSS - Common Vulnerability Scoring System

  • Posted on: 3 November 2014
  • By: ReYDeS

Actualmente, la gestión de TI debe identificar y evaluar vulnerabilidades a través de diversas plataformas hardware y software dispares. Se necesita priorizar estas vulnerabilidades y remediar aquellas poseedoras de un riesgo alto. Pero cuando son muchas a arreglar, cada una debe ser puntuada utilizando diversas escalas, ¿Cómo pueden los gerentes de TI convertir esta montaña de datos sobre vulnerabilidades en información factible de ser procesada?

Leer y Modificar Metadatos con las Herramientas de MetaData Working Group

  • Posted on: 30 October 2014
  • By: ReYDeS

MetaData Working Group (MWG) es un consorcio de compañías lideres en la industria de medios digitales, enfocado en los siguientes objetivos: Preservación e interoperabilidad de metadatos en imágenes digitales. Interoperabilidad y disponibilidad para todas las aplicaciones, dispositivos y servicios.

Expresiones Regulares utilizando la Sintaxis Java Regex

  • Posted on: 28 October 2014
  • By: ReYDeS

Las expresiones regulares son maneras de describir un conjunto de cadenas basados en características comunes compartidas por cada cadena en el conjunto. Estas pueden ser utilizadas para buscar, editar, o manipular texto y datos. Es útil aprender la sintaxis específica para crear expresiones regulares, esto va más allá de la sintaxis normal del lenguaje de programación Java. Las expresiones regulares varían en complejidad, pero una vez comprendido lo básico sobre su construcción, se será capaz de descifrar (o crear) cualquier expresión regular.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete