Seguridad Web

Cabeceras de seguridad HTTP

Las Cabeceras HTTP son parámetros que se envían en una petición o respuesta HTTP entre el cliente y el servidor para proporcionar información esencial sobre la transacción que se esté llevando a cabo. Estas cabeceras siempre utilizan la sintaxis «Cabecera: Valor» y a continuación veremos cuales son las cabeceras de respuesta más importantes enfocándonos en …

Cabeceras de seguridad HTTP Leer más »

CVE 2019-14348 JoomSport – for Sports – SQL injection

JoomSport 3.3– for Sports: Team & League, Football, Hockey & more JoomSport es un plugin de WordPress desarrollado en 2009 que ofrece características esenciales para cualquier sitio de deporte, estándares de ligas de deportes, deportes de equipo con sus respectivas descripciones, historial de partidos, estadísticas y fotos, incluyendo los enfrentamientos entre los equipos con los …

CVE 2019-14348 JoomSport – for Sports – SQL injection Leer más »

Guía sobre análisis estático de código JavaScript

JavaScript se ha convertido en una de las tecnologías más utilizadas de los navegadores modernos gracias a frameworks como AngularJS, ReactJS o Vue.js. Esta entrada pretende ser una guía sobre cómo encontrar y analizar todos los archivos JavaScript que contiene una aplicación web con el objetivo de detectar posibles vulnerabilidades, como en la entrada sobre …

Guía sobre análisis estático de código JavaScript Leer más »

Guía sobre toma de control de subdominios

En esta publicación, voy a hablaros sobre una vulnerabilidad conocida como «Toma de control de subdominios» (subdomain takeover), explicaré en qué consiste y como podemos detectarla. Es posible que pueda ir actualizando esta entrada con nuevas herramientas o técnicas de descubrimiento, así que, te sugiero que la guardes en tus favoritos. 😉 ¿En qué consiste …

Guía sobre toma de control de subdominios Leer más »

CVE-2019-7400 Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado

CVE-2019-7400 Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado Rukovoditel es una aplicación gratuita de gestión de proyectos de código abierto basada en web. Muy lejos de las aplicaciones tradicionales, Rukovoditel ofrece a los usuarios un enfoque más amplio y extenso de la gestión de proyectos. Sus opciones de personalización permiten a los usuarios …

CVE-2019-7400 Rukovoditel ERP & CRM 2.4.1 – Cross-Site Scripting Reflejado Leer más »

Suplantación de cuentas de Gmail con 2FA

En este caso, vamos a aprender como los atacantes consiguen obtener acceso a cuentas protegidas mediante el doble factor de autenticación en Gmail. El doble factor de autenticación (2FA) es una medida de seguridad empleada por los sistemas de autenticación que proporciona una capa de seguridad adicional al sistema. Consiste en que el usuario que …

Suplantación de cuentas de Gmail con 2FA Leer más »

Análisis estático de código fuente con SonarQube

SonarQube es un conjunto de herramientas de código abierto con interfaz web que nos ayudará a realizar análisis estáticos a nuestro código fuente con el objetivo de mejorar la calidad, solucionar errores y buscar vulnerabilidades. Actualmente, la última versión es la 7.5, y soporta más de 25 lenguajes de programación.   🖥 1. Instalación 1.1 …

Análisis estático de código fuente con SonarQube Leer más »

CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery

Las vulnerabilidades Cross-Site Request Forgery (CSRF) encontradas en el software Integria IMS 5.0.83 han quedado solucionadas. Estas, permitían a un usuario malintencionado borrar usuarios de la aplicación a través de este ataque. La vulnerabilidad, ha sido asociada al CVE-2018-19829.   CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery (CSRF) Integria IMS es un software de help desk sencillo, …

CVE-2018-19829 Integria IMS 5.0.83 – Cross-Site Request Forgery Leer más »

CVE-2018-19828 Integria IMS 5.0.83 – Cross-Site Scripting Reflejado

CVE-2018-19828 Integria IMS 5.0.83 – Cross-Site Scripting Reflejado Integria IMS es un software de help desk sencillo, potente y fácil de usar. Dispone de inventario automatizado y controlado desde un solo interfaz. Agiliza los procesos reduciendo los tiempos y costes de gestión en sus proyectos. Gracias a sus informes personalizados estará informado y podrá ver …

CVE-2018-19828 Integria IMS 5.0.83 – Cross-Site Scripting Reflejado Leer más »

CVE-2018-18921 PHP Server Monitor 3.3.1 – Cross-Site Request Forgery

Las vulnerabilidades Cross-Site Request Forgery (CSRF) encontradas en el software PHP Server Monitor 3.3.1 han quedado solucionadas. Estas, permitían a un usuario malintencionado borrar servidores, logs y usuarios de la aplicación a través de este ataque. La vulnerabilidad, ha sido asociada al CVE-2018-18921.   CVE-2018-18921 PHP Server Monitor 3.3.1- Cross-Site Request Forgery (CSRF) PHP Server Monitor es …

CVE-2018-18921 PHP Server Monitor 3.3.1 – Cross-Site Request Forgery Leer más »

365 retos de Ciberseguridad junto a SIDERTIA

Normalmente, suelo escribir entradas técnicas relacionadas con la Ciberseguridad, pero hoy, me vais a permitir hacer un paréntesis en las entradas del blog para hablaros sobre mi primer año dedicándome profesionalmente a la Ciberseguridad, ya que hoy, 29 de noviembre de 2018, se cumple exactamente un año que empecé este reto junto a SIDERTIA, empresa …

365 retos de Ciberseguridad junto a SIDERTIA Leer más »

CVE-2018-18923 Ticketly 1.0 – Múltiples SQL Injections

En la entrada anterior, hemos visto una vulnerabilidad de Escalación de Privilegios en Ticketly 1.0, en esta entrada, vamos a ver otras vulnerabilidades que he encontrado en este software, en concreto, múltiples SQL Injections, estas vulnerabilidades han sido asociadas al CVE-2018-18923.   Ticketly – CVE-2018-18923 Ticketly 1.0 – Multiple SQL Injections Ticketly 1.0, es un software de ticketing desarrollado …

CVE-2018-18923 Ticketly 1.0 – Múltiples SQL Injections Leer más »

CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente

Esta entrada tiene como objetivo hacer pública la vulnerabilidad Cross-Site Scripting Persistente descubierta en el software Libre NMS 1.43, la vulnerabilidad ha sido asociada al CVE-2018-18478.   Libre NMS – CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente Libre Network Monitoring System, es un software utilizado para monitoreo de red basado en PHP / MySQL / SNMP …

CVE-2018-18478 Libre NMS 1.43 – Cross-Site Scripting Persistente Leer más »

OWASP Juice Shop Project – Laboratorio para practicar las 10 vulnerabilidades más comunes en aplicaciones web

OWASP Juice Shop es una aplicación web desarrollada completamente en JavaScript con el objetivo de reproducir de manera intencionada las 10 vulnerabilidades más comunes en aplicaciones web (Top Ten de OWASP) para que el usuario pueda explotarlas y aprender sobre la seguridad en aplicaciones web.   TOP Ten de OWASP (2017) Estas son las vulnerabilidades …

OWASP Juice Shop Project – Laboratorio para practicar las 10 vulnerabilidades más comunes en aplicaciones web Leer más »

Ir arriba