Noticias sobre auditoria aplicaciones web_

Explotando la vulnerabilidad LDF (Local File Disclosure)

Con anterioridad en BacktrackAcademy nos enfocamos generar una idea sobre la vulnerabilidad de Local File Inclusion (LFI) dicha falla nos permitirá ejecutar archivos localmente en el servidor y tener una vista de archivos críticos para el sistema como la lista de usuarios, sin embargo existen distintas vulnerabilidades de tipo Local File que pueden ser un riesgo si no mitigamos oportunamente..

Comprendiendo la Vulnerabilidad CSRF

En las veces que he utilizado alguna herramienta automatizada para detectar vulnerabilidades, encuentro en un 70 % vulnerabilidades de Cross Site Request Forgery (CSRF). Pero la primera pregunta que se nos viene a la cabeza es ¿Que es CSRF? CSRF o Falsificación de Peticiones en Sitios Cruzados es una vulnerabilidad que explota la confianza del usuario. Convencionalmente el CSRF utiliza a un usuario validado para a través de este introducir solicitudes "válidas" que modifiquen el comportamiento de la aplicación a favor del atacante..

Escaneando Vulnerabilidades en vBulletin con VBScan

En Internet, existe una infinidad de sitios, los cuales manejan estructuras propias y/o de terceros para administrar los sitios web. En esta oportunidad hablaremos de vBulletin. vBulletin es un software para crear foros de Internet desarrollado por vBulletin Solutions Inc. Al estar basado en PHP y MySql ofrece gran capacidad de adaptación en múltiples plataformas y flexibilidad para añadir modificaciones. vBulletin ofrece una administración muy sencilla, permitiendo fácilmente su uso a cualquier tipo de usuario, además ofrece varias opciones:.

Inyección XPath en Aplicaciones Web.

Las inyecciones son un tipo de ataque muy peligroso para aplicativos web, ya que permiten a un atacante extraer información relevante sobre la organización. Por eso es muy importante verificar que las aplicaciones que desarrollamos, utilicen un control de sanitización de caracteres, para mitigar vulnerabilidades de este tipo. Hoy veremos un tipo de inyección muy peligroso denominado Inyección XPath. La inyección XPath es similar a las Inyecciones SQL..

Explotación de vulnerabilidades de código en Joomla(CMS)

Joomla es uno de los gestores de contenidos más utilizados en el mundo (después de WordPress). Los CMS ayudan a los administradores de sitios webs a controlar sus sitios web de una manera mucho más estructurada, sin embargo, siempre son estudiados por investigadores de Seguridad, los cuales constantemente develan vulnerabilidades que puede afectar el correcto funcionamiento del servicio. .

XSS: Capturando Cookies de Sesión

Una de las vulnerabilidades más presentes a nivel mundial en los aplicativos web es el Cross Site Scripting (XSS), esta vulnerabilidad permite inyectar código JavaScript dentro de un determinado input o campo del aplicativo web. La vulnerabilidad se produce porque el desarrollador del sitio web no “escapo” los caracteres especiales dentro de los campos o inputs del sitio web..

Explotando la Vulnerabilidad LFI

A nivel web, existen distintas vulnerabilidades las cuales pueden ser muy peligrosas si no son mitigadas adecuadamente. En esta oportunidad nos enfocaremos en la vulnerabilidad Local File Inclusion (LFI). LFI es una vulnerabilidad web que permite ejecutar archivos localmente en el servidor (local file incluson) y tener acceso a archivos de configuración passwords etc..