ReYDeS's blog

OWASP Latam Tour - Lima, Perú 2014

  • Posted on: 18 April 2014
  • By: ReYDeS

El día viernes 25 de Abril del año 2014 estaré dictando en la ciudad de Lima Perú, un Taller totalmente práctico sobre “Hacking Aplicaciones Web”, el cual tendrá una duración de ocho (8) horas. Esto con motivo de realizarse el OWASP Latam Tour Perú, evento que incluye talleres dictados el día Viernes 25 de Abril, y conferencias el día Sábado 26 de Abril.

Pueden obtener la información detallada sobre los Talleres y Conferencias en la página del evento.

Crear Macros con iMacros

  • Posted on: 17 April 2014
  • By: ReYDeS

iMacros fue diseñado para automatizar las tareas más reiterativas en la web. Si existe una actividad a realizar repetidamente, solo se debe registrarla con iMacros. Cuando se necesite realizarla la siguiente vez, se ejecutará el macro completo con el clic de un botón. Con iMacros, se puede rápida y sencillamente llenar formularios web, recordar contraseñas, crear un notificador de correo electrónico vía web, descargar información desde otros sitios web, arrastrar la Web (para obtener datos desde varios sitios), y más.

Generar Listas Personalizadas de Palabras con CeWL

  • Posted on: 16 April 2014
  • By: ReYDeS

CeWL permite crear listas de palabras personalizadas haciendo “spidering” en los sitios web objetivos y capturando palabras únicas. CeWL es una aplicación escrita en ruby la cual recorre una URL definida con una profundidad específica, opcionalmente siguiendo enlaces externos, y retorna una lista de palabras las cuales pueden ser utilizadas con herramientas para tratar de “romper” contraseñas como John the Ripper.

Fuzzing contra un Formulario de Registro utilizando ZAP

  • Posted on: 15 April 2014
  • By: ReYDeS

Las pruebas de fuzzing son una técnica de pruebas de caja negra para software, las cuales consisten básicamente en encontrar fallas de implementación utilizando inyección de datos malformados de manera automática.

Un fuzzer es un programa que inyecta automáticamente datos semi aleatorios dentro de un programa o pila y permite detectar fallas.

Generar Tokens con Zed Attack Proxy - ZAP

  • Posted on: 14 April 2014
  • By: ReYDeS

Zed Attack Proxy (ZAP) es una herramienta integrada y de fácil uso para realizar pruebas de penetración, la cual permite encontrar vulnerabilidades en las aplicaciones web. Esta diseñada para ser utilizada por personas con un amplio espectro de experiencia en seguridad, y como tal es ideal para los desarrolladores y evaluadores funcionales, nuevos en el campo de las pruebas de penetración. ZAP proporciona escaners automáticos y también un conjunto de herramientas que permite encontrar vulnerabilidades de seguridad manualmente.

Modificar Datos de Cookies con Cookies Manager+

  • Posted on: 10 April 2014
  • By: ReYDeS

Cookies Manager+, o por su traducción al español "Gestor de Cookies", permite editar y crear nuevas cookies. También muestra información adicional sobre las Cookies, permitiendo editar varias cookies a la vez y respaldarlas o restaurarlas. Este add-on está disponible para Firefox.

Una vez instalado Cookies Manager+, este puede ser accedido mediante “Botón App -> Web Developer -> Cookies Manager +” o mediante “Tools -> Cookies Manager +”.

¿Qué es una Cookie?

Obtener un Shell Reverso con Laudanum

  • Posted on: 9 April 2014
  • By: ReYDeS

Laudanum es una colección de archivos inyectables, diseñados para ser utilizados en pruebas de penetración cuando se encuentran vulnerabilidades en la subida de archivos, interfaces administrativas, y fallas de inyección SQL. Estos archivos están escritos en diversos lenguajes para diferentes entornos. Proporcionan funcionalidades como una shell, consulta DNS, recuperación LDAP y otros escenarios

Se procede a descargar el archivo más reciente publicado por el proyecto, desde su repositorio ubicado en sourceforge.

ProxyStrike

  • Posted on: 8 April 2014
  • By: ReYDeS

ProxyStrike es un proxy activo para aplicaciones web. Esta herramienta está diseñada para encontrar vulnerabilidades mientras se navega una aplicación. Fue creada debido a los problemas que enfrentan las personas que realizan pruebas de penetración contra aplicaciones web que dependen mucho de Javascript, es por ello que se creo este proxy.

Están disponibles plugins para inyección SQL, y XSS (Cross Site Scripting). Ambos plugins están diseñados para atrapar tantas vulnerabilidades como puedan, esto debido a que el plugin de inyección SQL ha sido portado en python desde “Sqlibf”.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1