Guía para Securizar un servidor web Apache

Luego de una serie de artículos publicados por INTECO (Instituto Nacional de Tecnología de la Comunicación) sobre la fortificación en las configuraciones del servidor web Apache2, a finales del 2012 publicaron una guía recopilando toda esta información.

La guía ofrece unos primeros pasos a administradores de sistemas sobre cómo implementar de forma segura el servidor web Apache en sistemas operativos tipo Unix/Linux.

Los temas que se tratan en el informe son:

• Cómo modificar la configuración de Apache y las medidas de seguridad que se deben aplicar al instalar el software.
• Las directivas principales para definir los ficheros que servirá Apache sin que se facilite el acceso a ningún otro archivo del servidor.
• Los métodos para tratar de minimizar la información expuesta que facilite ataques sobre el servidor web.

Mundo Hacker TV - Redes WiFi

Ya se encuentra subido a la web el segundo capítulo de la tercera temporada de Mundo Hacker TV, en esta oportunidad hablando con los especialistas sobre Seguridad en Redes WiFi.

Saludos!

Google Hack: Buscando reportes de AWStats

En algún momento hablamos lo simple y práctico que es contactar con reportes reportes web, completos analizadores de Logs que nos permiten mostrar de forma más visual todo aquello que se registra a diario y que resulta muy complicarlo procesarlo sin estas herramientas.

Este es el caso de AWStats, una excelente herramienta para obtener reportes de consumo y visitas tanto para Apache2 como para Postfix como servidor de correo.

Al buen estilo Google Analytics, AWStats nos permite conocer un panorama completo de visitas obtenidas directamente desde los archivos log, manteniendo todos los datos almacenados en días, meses y años.

Figura 1: Reporte de ejemplo generado con AWStats

Mundo Hacker TV - SPAM y Phishing

Comenzó la tercera temporada del video podcast más popular sobre seguridad informática, Mundo Hacker TV, esta vez con algunas novedades y es que ahora su contenido se emite en el canal Discovery Max, sin duda un gran logro para la difusión de todo el excelente contenido que nos tienen acostumbrado.

Con la Seguridad Informática como tema central, Mundo Hacker TV tiene el objetivo de cubrir todos los temas referidos mundo con profesionales en la materia como invitados.

Ya se encuentra publicado el primer capítulo de la tercera temporada con dos invitados de lujo, hablando sobre SPAM y Phishing, Lorenzo Martinez @lawwait y Yago Jesús @yjesus

What is that Website? con WhatWeb

Buscando herramientas para obtener más información de las web que habitualmente auditamos, me encontré con WhatWeb, una herramienta que su mismo nombre lo indica y que nos va a permitir realizar Fingerprinting de una web.

WhatWeb tiene la particularidad de identificar webs que están realizadas con alguno de los CMS más populares como WordPress, Joomla!, phpBB o Drupal, además permite identificar versiones de librerías JavaScript, Geolocalización de dominios, identificación de etiquetas HTML, Servidores Web y más de 900 plugins para extender su funcionalidad.

Festejando el 1er año de Caceria de Spammers

Hoy el blog está de cumpleaños, ya pasó un año desde que comenzó la Cacería de Spammers y en el caminos varios Post publicados, muchos amigos encontrados y una cantidad grande de seguidos que leen el blog a diario.

Solo me queda agradecer a todos y cada uno de ustedes que están registrados a los diferentes canales sociales, por seguirme día a día en todas las entradas. Decirles que como siempre vamos a tener más por aprender y seguir colaborando con temas en seguridad informática, hacking y esas cosas.

Gracias por estar y Saludos!

Ing. Daniel Maldonado

W3af con repositorio en GitHub

Antes de comentarles algunas novedades que estuve leyendo este fin de semana, quería agradecer a todos y cada uno de los usuarios que siguen este blog y lo acompañan con sus comentarios, Tweets, RT, Facebook, RSS, sus votos en Bitacoras, etc realmente estoy muy contento por todos sus mensajes.

Lo que le voy a contar nuevamente creo que no es noticia, sin embargo me pareció excelente que la herramienta de auditoría web w3af creada por Andres Riancho, se halla pasado a GitHub luego de un excelente trabajo en SVN y junto a una renovación en la página web oficial del proyecto..

Resulta que al igual que muchas herramientas de seguridad, tenía instalada desde hace tiempo, y simplemente me tomaba el tiempo para actualizarla antes de ejecutarlas, lo mismo me pasó con msf que al tiempo me enteré que estaban en GitHub.

Desarrollo web con Symfony2 en @tuxinfo

Hoy tengo la grata noticia de anunciarles que salió publicada la primera entrega sobre Desarrollo web con Symfony2 en la revista digital TuxInfo donde una vez más colaboré con esta nota.

Desde ya muy agradecido principalmente a Ariel Corgatelli @arielmcorg director de la revista por la invitación y a todo el equipo de edición y diseño.

Ojalá cumpla con las expectativa de los lectores y le sea de interés para los nuevos desarrolladores web.

Saludos!

Enlace | TuxInfo Nº 56

Google Hack: Buscando los login de ISPConfig

Listos para buscar más dorks en Google? la idea de hoy es identificar el panel de autenticación para la administración de servidores que se hace con ISPConfig y que muchos proveedores de hosting lo utilizan.

ISPConfig es un software de gestión y administración de Hosting para los sistemas GNU/Linux, que permite administrar múltiples servidores desde un panel central, y que se encuentra bajo la licencia BSD.

Desde ISPConfig podemos administrar diferentes tipos de perfiles de usuarios, los servicios que se ejecutan en el servidor, Firewall, Quotas de disco, email, DNS, etc.

Sería como administrar un servidor Linux completo pero desde un navegador web en vez de hacerlo por una consola de comandos. Ahora nos imaginemos por un seguro que podría hacer un posible atacante que tenga acceso a las credenciales del administrador.

Recursos para comprender los ataques XSS por @lord_epsylon

Los ataques de tipo XSS realmente son fascinantes, tanto por el contexto en los que ocurren como por lo valioso que son estos fallos, y sin duda la herramienta por excelencia para sacar partido de esta vulnerabilidades es XSSer.

La Rooted Con del año pasado (2012) nos acercó una conferencia de @lord_epsylon el creador de este estupendo Framework y junto a ello un tutorial de varias páginas para entender y comprender la raíz de los ataques de tipo XSS y la forma en la cuál podemos protegernos de los mismo.