sábado, 31 de diciembre de 2011

¡Feliz año 2012!

Ha pasado un año más en el blog y al igual que el año anterior quiero hacer un resumen de los posts y momentos más importantes de este año.

martes, 27 de diciembre de 2011

Hacking Web Services [Parte III]

Para programar un Web Service necesitamos de un "SOAP Engine". Es decir, un motor que implemente el protocolo SOAP y se encargue de la serialización y deserialización de mensajes. Este motor debe abstraer todos los detalles del protocolo en sí para permitir al programador concentrarse en codificar la lógica de la aplicación.

Por el lado de Java podemos utilizar "Axis2" como SOAP Engine. Axis2 se usa básicamente de dos formas:

domingo, 25 de diciembre de 2011

¡Feliz Navidad!

¡Feliz Navidad, chicos malos! y por supuesto, chicas malas también ;) Esta es la tercera Navidad de este  blog y desde aquí quiero agradecer a todos los que lo leen, siguen, comentan, linkean, comparten o simplemente saben de su existencia. Ya que de forma directa o indirecta me motivan a continuar con este proyecto cuyo único fin aparente es compartir la experiencia y el conocimiento que como cualquier aficionado voy ganando en el camino por alcanzar un sueño.



viernes, 9 de diciembre de 2011

LFI With PHPInfo()

El principal problema al explotar un LFI (Local File Inclusion) es encontrar un fichero donde podamos inyectar código para luego ejecutarlo a través de la vulnerabilidad. Lo más clásico es inyectar el código en los logs de cualquier servicio: web, ftp, ssh, etc. También se suele usar los ficheros que guardan las cookies de sesión o los relativos al proceso en marcha (/proc/self/...). Sin embargo, en muchos casos, no tendremos permiso de lectura sobre estos ficheros y en consecuencia no se podrá ejecutar el código inyectado.

Hace poco, gracias a un amigo, me enteré de una técnica novedosa para resolver este problema en un caso particular: cuando en la web hay un "phpinfo()".