domingo, 31 de marzo de 2013

Explotación de web services con Sqlmap

Hace poco encontré un Blind SQLi en un web service y recordé que se podía automatizar con Sqlmap. Tiempo atrás ya había leído este post de Bernardo Damele, en el que explica como usar el soporte para SOAP de Sqlmap.  Es genial cuando algo que leíste hace mucho tiempo de pronto te sirve y ahorras tiempo y esfuerzo :)

En este otro post ya había escrito sobre los web services y el protocolo SOAP. Puedes revisarlo si no recuerdas el funcionamiento de SOAP. En resumen, se puede decir que la diferencia, en lo que a la explotación de un SQLi se refiere, está en el "formato" de envió de datos. Mientras que en un SQLi "normal" los datos se envían por GET o POST en el formato "variable=valor", en un webservice los datos de entrada se envían por POST en un documento XML.

miércoles, 20 de marzo de 2013

Redirecciones no validadas (caso práctico)

En el último puesto del "OWASP Top 10" del año 2010, se incluyó una nueva vulnerabilidad con el nombre de "Unvalidated Redirects and Forwards". En la versión "Release Candidate" de este año del mismo documento, dicha vulnerabilidad aún se mantiene vigente y en su mismo puesto. Pero... ¿De qué trata este fallo de seguridad?

lunes, 11 de marzo de 2013

Configurando Fedora 18



Hace poco instalé en mi máquina la última versión de Fedora: "Spherical Cow". O también conocida como Fedora 18. Así que pondré aquí algunas de las configuraciones que hice para asegurar un poco mi sistema y además instalar algunas herramientas "básicas".

jueves, 7 de marzo de 2013

OWASP Latam Tour 2013


Por otro año consecutivo, el capitulo de OWASP en Perú formará parte del "OWASP Latam Tour", la gira anual de conferencias de OWASP por muchos países de latinoamérica donde se tratan diversos temas sobre seguridad en aplicaciones web.

Este año la gira trae algunas novedades. El evento se llevará a cabo durante dos días: lunes 25 y martes 26 de marzo, en la Escuela de Postgrado de la Universidad Tecnológica del Perú (UTP).

Mapa: http://g.co/maps/ajq42

El primer día estará dedicado al dictado de talleres. Para los interesados en llevar alguno de estos entrenamientos, pueden encontrar mayor información en este enlace:

https://www.owasp.org/index.php/LatamTour2013#Training

El segundo día será para las conferencias. Como todos los años, el ingreso es gratuito previo registro al evento.

Link de registro: http://www.regonline.com/Register/Checkin.aspx?EventID=1204754

Desde hace algunos días la agenda ya está lista y puede consultarse en este enlace: 

https://www.owasp.org/index.php/LatamTour2013#Lima

Este año me ha llamado la atención la cantidad de speakers extranjeros a diferencia de años anteriores. En el evento participarán: Pablo Ramos (Argentina) que como recordarán también participó en el pasado Limahack 2012; Fabio Cerullo (Argentina) por segundo año consecutivo aquí en Perú; Simon Bennetts (United Kingdom) que dará una conferencia remota, Bennetts es lider del proyecto ZAP (Zed Attack Proxy) uno de los proyectos de OWASP que más me gusta y Jaime Andrés Restrepo (Colombia) quizá más conocido como "DragoN" por los asiduos foreros de la comunidad DragonJar.

Por el lado nacional participarán: Carlos Ganoza Plasencia, lider del proyecto WATIQAY, un sistema de monitoreo y respuesta inmediata a incidentes de seguridad web y por que no decirlo, el primer proyecto de OWASP peruano; y Camilo Galdos quien presentará su herramienta llamada "DomKingKong" orientada a vulnerabilidades del tipo Cross Site Scripting (XSS) con seguridad una de sus vulnerabilidades favoritas pues ha detectado este tipo de fallos en páginas de reconocidas empresas como Adobe o Microsoft.

Sin más, animarles a participar del evento.

Un saludo.