ReYDeS's blog

Vulnerabilidades de Transferencia de Zona en Servidores DNS de Dominios GOB.PE

  • Posted on: 28 January 2019
  • By: ReYDeS

Una transferencia de zona es un tipo de transacción DNS. Es uno de los muchos mecanismos disponibles para los administradores repliquen la base de datos DNS entre un conjunto de servidores DNS. Un cliente solicita un transferencia de zona hacia un servidor esclavo o servidor secundario, solicitando datos desde un servidor maestro, algunas veces denominado como servidor primario. La porción de la base de datos replicada es una zona.

Obtener un Listado de los Servidores de Nombres de Dominios GOB.PE

  • Posted on: 25 January 2019
  • By: ReYDeS

Un servidor de nombres es un servicio de red el cual proporciona respuestas a consultas adecuadamente realizadas. Esencialmente traduce desde algo con significado para los seres humanos. Un ejemplo de un servidor de nombres, es el componente servidor de Sistema de Nombres de Dominio (DNS). La función más importante de los servidores DNS, es traducir (resolver) nombres de dominio y nombres de host; hacia algo fácilmente recordable para los seres humanos; hacia sus correspondientes direcciones IP.

Entender al Interprete SQL

  • Posted on: 23 January 2019
  • By: ReYDeS

Uno de los principales aspectos sobre las vulnerabilidades de inyección SQL el cual se debe entender, es como aprovecharse del interprete SQL. Un interprete toma entradas y actúa inmediatamente sobre estas, sin deber pasar a través de los procesos tradicionales de programación, como enlazado, compilación, depuración o ejecución. Por ejemplo, un interprete SQL tiene un rol importante cuando se busca por la información de un usuario. El siguiente código es parte de DVWA (Damn Vulnerable Web Application).

Introducción a las Vulnerabilidades de Inyección

  • Posted on: 22 January 2019
  • By: ReYDeS

Un atacante malicioso pueden explotar vulnerabilidades de inyección, enviando entradas especialmente diseñadas para causar la aplicación web realice acciones como, exponer datos sensibles de la autenticación (nombres de usuario y contraseñas), o ejecutar comandos del sistema (añadir cuentas falsas de administrador). Los ataques de inyección son las explotaciones más dañinas enfrentadas por las aplicaciones web en la actualidad, por el hecho de impactar a un gran número de usuarios (clientes), además de la humillación pública cuando se exponen los ataques exitosos.

Lo Factible de No Encontrarse con un Escáner de Vulnerabilidades Web

  • Posted on: 21 January 2019
  • By: ReYDeS

Los escáneres de vulnerabilidades para aplicaciones web tienen algunas claras deficiencias, en lo referente a los tipos de vulnerabilidades capaces de encontrar. Siendo esto muy necesario e importante conocer, antes de seleccionar y utilizar cualquier herramienta. A continuación se presenta una lista de vulnerabilidades en aplicaciones web, las cuales potencialmente podrían no ser detectados por los escáneres automáticos, esto sin importar sean Open Source (Fuente Abierta), gratuitos, o sea un enorme producto maravilloso de miles de dólares.

Introducción al Escaneo de una Aplicación Web

  • Posted on: 17 January 2019
  • By: ReYDeS

Los escáneres para aplicaciones web proporcionan una manera automática de descubrir vulnerabilidades en la aplicación web, similar a lo hecho por herramientas como OpenVAS (Open Vulnerability Assessment System) o Nessus, en lo referente a su capacidad de encontrar malas configuraciones o parches no instalados. La mayoría de escáneres para aplicaciones web, se sitúan entre un navegador web y la aplicación web, como lo hace un proxy web, siendo generalmente parte de un conjunto de herramientas mayor como Zed Attack Proxy o Burp Suite.

Configurar Zed Attack Proxy Manualmente con Firefox

  • Posted on: 16 January 2019
  • By: ReYDeS

OWASP Zed Attack Proxy (ZAP), es una de las herramientas libres de seguridad más populares a nivel mundial, y es activamente mantenida por cientos de voluntarios a nivel internacional. Esta herramienta puede ayudar a encontrar automáticamente vulnerabilidades de seguridad en las aplicaciones web, mientras se desarrollan y prueban las aplicaciones. También es una gran herramienta para profesionales experimentados en pruebas de penetración, quienes lo utilizan para realizar pruebas manuales. Zed Attack Proy está instalado por defecto en Kali Linux.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1