Entradas

Yasca, un analizador de código estático multi-lenguaje
Yasca es un programa de código abierto que busca vulnerabilidades de seguridad, revisa la calidad de código, el rendimiento y la conformidad con las mejores prácticas existentes e…

Resuelve el criptoreto y gana un curso de Especialización en Seguridad Informática y Ciberdefensa
Criptored publicó ayer un criptoreto (el tercero) y la primera persona que lo resuelva antes del 1 de mayo obtendrá como premio una plaza gratuita para la cuarta edición del curso…

Malcom: un analizador gráfico de las comunicaciones de malware
Malcom es una herramienta diseñada para analizar las comunicaciones de una red de sistemas usando una representación gráfica del tráfico y cruzando referencias con fuentes de malw…

Reiniciar Squid en RHEL 6.7 borra todos los archivos del disco duro
Tranquilos, Red Hat Enterprise Linux (RHEL) 6.7 todavía está en fase pre-beta y no se ha publicado pero acojona asusta, ¿verdad?  Peor cara se le quedó a Swapna Krishnan, un e…

Facebook publica una herramienta de código abierto para simular distintas condiciones de red
Augmented Traffic Control (ATC) es una herramienta de código abierto ( GitHub ) desarrollada por Facebook para simular distintas condiciones de red para probar como se comportan …

Las 10 mejores técnicas de hacking web en el 2014
Heartbleed elegida mejor técnica de hacking web de 2014 Como todos los años, WhiteHat Security (la empresa fundada en 2001 por Jeremiah Grossman) lleva a cabo un concurso con…

Vulnerabilidad XSS persistente en un plugin de Wordpress para usar Google Analytics
Google Analytics por Yoast es un plug-in para monitorizar el tráfico en  WordPress con Google Analytics. Con aproximadamente siete millones de descargas es uno de las más popul…

Cisc0wn: el 0wner/script para Cisco SNMP
Cisc0wn es un sencillo script que permite la enumeración SNMP, fuerza bruta, descarga de configuración y cracking de contraseñas de dispositivos con Cisco IOS.  Fue publicado…

IP-Box: un dispositivo para crackear la clave de 4 dígitos de iPhone
IP-BOX permite por menos de 200€ obtener la contraseña de 4 dígitos de cualquier iPhone con iOS 8 o inferior.  Realiza un ataque de fuerza bruta (efectivo en menos de 17 hora…

Yahoo prepara cifrado punto a punto en su correo y acceso sin contraseñas permanentes
Yahoo ha publicado en GitHub el código fuente de un plugin que permitirá el cifrado de extremo a extremo en su servicio de correo electrónico , y están solicitando retroalimentac…

Empiezan a explotar de forma masiva el reciente 0-day de phpMoAdmin (MongoDB GUI)
MongoDB, una de las principales plataformas NoSQL de la Web, es una alternativa popular a las bases de datos relacionales basadas ​​en tablas. Una de las herramientas visuales u…

Microsoft publica la versión 5.2 de EMET
Microsoft ha actualizado su herramienta anti-exploit de facto Enhanced Mitigation Experience Toolkit (EMET) a la versión 5.2 con algunos ajustes y mejoras interesantes: - La co…

reCAPTCHA: fácil para humanos, ¿difícil para bots?
Si comentáis en blogs como éste veréis que, desde finales del año pasado, Google utiliza un nuevo captcha al que llaman “ NO CAPTCHA reCAPTCHA ” que la mayoría de las veces se p…

Scripts PowerShell para enumeración en DA
Interesante repositorio PowerShell-AD-Recon de PyroTek3 en: https://github.com/PyroTek3/PowerShell-AD-Recon C:\temp>powershell -exec bypass -Command "IEX (New-Objec…

Llega CSI:Cyber sobre delitos *ciber*néticos
El pasado jueves 5 de marzo FOX estrenó en nuestras pantallas el cuarto spin-off de CSI que apunta a la tecnología y al underground con un nombre bastante tópico y predecible: C…

μTorrent instala de forma silenciosa software de minería de bitcoins
Los usuarios que hayan instalado o actualizado el popular cliente de BitTorrent uTorrent 3.4.2 Build 28913 (mediados de enero - 6 de marzo) se han llevado también una desagradabl…

Libro: Hacking and Penetration Testing with Low Power Devices
Este libro de Philip Polstra editado por Syngress es una guía práctica que muestra cómo realizar pruebas de intrusión usando pequeños dispositivos de baja potencia que pueden oc…

Un fallo en la web de GoPro revela las contraseñas WiFi de las cámaras de sus usuarios
Las cámaras GoPro tienen fama de ser ligeras y ultra-resistentes. La gente las usa para el ciclismo de montaña, motociclismo e incluso para los deportes acuáticos. La popular &#…

Configurar SSL en Tomcat parte 2 - configurar el conector y la aplicación web
Para configurar SSL en Tomcat en la entrada anterior veíamos como preparar el keystore e instalar un certificado firmado por una CA. Ahora veremos cómo configurar el conector (po…

Configurar SSL en Tomcat parte 1 - preparar el keystore
Al publicar un servidor Tomcat en Internet es recomendable permitir sólo HTTPS y acceder a él mediante un certificado digital firmado por una CA. El proceso para activar SSL en …