miércoles, 28 de septiembre de 2011

Full Path Disclosure en USVN

Se le dice "Full Path Disclosure" a un error frecuente en muchas aplicaciones web que permite ver el "path" completo de algún recurso de la web dentro del servidor. Por ejemplo si la URL de una web es:

http://www.example.com/index.php

Con un FPD, podríamos saber que el path de "index.php" es:

/home/pepito/htdocs/www.example.com/index.php

Seguro dirás ¿Y qué con eso? Pues nada, no es una vulnerabilidad crítica pero si que puede ser de mucha utilidad al momento de explotar otras vulns de más riesgo como LFI o SQLi.

Bien, pero vamos a lo que trata este post...

domingo, 25 de septiembre de 2011

Por seguridad, toque antes de entrar

Tocar antes de entrar no parece presisamente una medida de seguridad sino más bien una regla de buenas costumbres. Pero entonces... ¿A qué me refiero con el título de este post?

Hoy hablaremos del "Port Knocking", una medida de seguridad complementaria que puede ser de mucha utilidad, sobre todo si tenemos el paranoic_mode enable xD

viernes, 23 de septiembre de 2011

Examen de Admisión & DoS

Hoy quiero hablar sobre ataques DoS (Denial of Service) o lo que es lo mismo "Denegaciones de servicio". Este tipo de ataques, van en contra de un principio de la seguridad informática conocido como "Disponibilidad". Este principio dice que los sistemas deben garantizar la continuidad de acceso a la información contenida en ellos, es decir, que un usuario pueda disponer de dicha información con la frecuencia que requiera. Entonces, el objetivo de un ataque DoS, es bloquear o degradar de alguna manera el servicio proporcionado por un sistema informático a sus usuarios.

miércoles, 14 de septiembre de 2011

San Marcos tiene nueva página web

Hoy traigo buenas noticias, luego de mucho tiempo se ha actualizado el portal web de la universidad. Me refiero a:

http://www.unmsm.edu.pe

Ahora luce así:

Fig. 1 - Nueva página de San Marcos.

LimaHack 2011 - Call for Papers


Arranca el Call For Papers para el LimaHack 2011...


Para más detalles visita: http://limahack.com/

miércoles, 7 de septiembre de 2011

¿Un ejemplo a seguir?

Yo también estoy de acuerdo con que deberían multar a aquellos que no toman suficientes medidas de seguridad xD  ¿No creen?

Fig. 1 - ¿Un ejemplo a seguir?

domingo, 4 de septiembre de 2011

Apache Range Vuln Scanner (CVE-2011-3192)

Hace dos semanas se hizo público un exploit para el popular servidor web Apache que permite realizar una denegación de servicios con relativamente pocas consultas. El exploit aprovecha una vulnerabilidad en Apache que se produce por un inadecuado tratamiento de la cabecera Range. Esta cabecera sirve para pedir segmentos de bytes de un archivo, útil cuando se necesita transferir solamente algunas partes del archivo, por ejemplo, para hacer streaming.