31 de enero de 2014

Cuál es mi dirección IP con ifconfig.me

En más de una oportunidad vamos a necesitar conocer la dirección de IP pública con la que estas navegando o accediendo a los servicios, y para ello nada mejor que utilizar el sitio ifconfig.me para obtener esa información.

ifconfig.me te brinda toda la información sobre tu conexión a internet, proveedor de ISP, navegador, KeepAlive de nuestra conexión, MIME, que va a ser de mucha ayuda.

Por otra lado nos brinda la posibilidad de utilizar el comando curl en la consola y realizar diferentes consultas para obtener distintos datos y en diferentes formatos como en texto plano, XML o JSON como una suerte de API.

Para ello siemplemente con curl podemos ejecutar:

$ curl ifconfig.me

$ curl ifconfig.me/ip

$ curl ifconfig.me/host

29 de enero de 2014

#MundoHacker en Argentina por @chinoogawa y @camicelli

Después de una semana de ver que se hablaba de un supuesto hacker, mal utilizando la palabra por supuesto, algo que no puede ser más que un delincuente informático violando la privacidad de las personas y haciendo de alguna u otra manera un juego de extorsión a personas reconocidas en el mundo del espectáculo en Argentina, Gustavo Nicolas Ogawa y Cristian Amicelli para el programa CQC dejaron una nota mostrando como podemos atacar a un usuario y extraer toda su información



Saludos!

27 de enero de 2014

OwnCloud 6


A principio de Diciembre del 2013, OwnCloud presentó la sexta versión para crear y configurar una nube privada, contando simplemente con un servidor tipo LAMP y sin tantos recursos.

Entre las principales mejoras presentaron:

  • Avatar en los usuarios
  • Nuevo diseño organizado
  • Galerías públicas para compartir
  • Archivos de ejemplo
  • Incorporar Google Drive como almacenamiento externo
  • Incorpora Doctrine como capa en las bases de datos
  • Nuevas traducciones
  • Actualización en las librerías jquery y jquery-mobile
  • Extender mas apps de OwnCloud desde el navegador
  • Nuevos íconos
  • y muchas mejoras más.

Luego en el transcurso de los días se fueron mejorando algunas funcionalidades y reparando bugs importantes, así es como salió la versión 6.0.0a y para su anterior rama estable 5.0.14a

Este último 22 de Enero, el área de desarrollo de OwnCloud liberó la versión 6.0.1 demostrando una vez más el compromiso con sus usuarios y presentando varias mejoras más desde su última versión estable.

24 de enero de 2014

Actualización WordPress 3.8.1


Después de seis semanas y más de 9,3 millones de descargas de WordPress 3.8, anunciaron que WordPress 3.8.1 ya está disponible para todos.

La versión 3.8.1 es una versiones de mantenimiento que aborda 31 errores en 3.8, incluyendo varias correcciones y mejoras para el nuevo diseño de temas de administración. Un problema con las consultas de la taxonomía en WP_Query se resolvió, se encontró y soluciono la denominada "zona muerta" en los botones de enviar.

También contiene una corrección para los embedding tweets (colocando la URL para el tweet en su propia línea), que fue roto debido a un cambio reciente de la API de Twitter.

Para obtener una lista completa de los cambios, consulte la lista de tickets y el registro de cambios. También hay un resumen detallado de los desarrolladores en el blog de desarrollo.

Para evitar cualquier tipo de problemas futuros, les recomendamos actualizar en sus proyectos a esta nueva versión 3.8.1 y disfrutar de sus nuevas mejoras.

Saludos!

Enlace | WordPress 3.8.1

22 de enero de 2014

Informe de Seguridad en WordPress

Akamai junto a la ayuda del Big Data, publicó en su blog un informe de lo más interesante respecto a los ataques en los plugins de WordPress, mostrando datos de lo más interesantes a la hora de escoger las mejores herramientas.

Dentro de los CVE asociados a la palabras 'WordPress' y 'plugins' para el 2013, se obtuvieron 64 vulnerabilidades diferentes.


17 de enero de 2014

Admin_Finder v0.1 por @Funji_Security

Admin_Finder es una herramienta para la consola de comandos, que nos permite realizar la búsqueda tanto de directorios como de archivos de administración dentro de un determinado sitio web, donde generalmente nos solicita una autenticación previa o espera el ingreso de información para los usuarios autorizados.


Generalmente los administradores de estos sitios lo primero que se les ocurre es intentar ocular su formulario de login, ya sea para evitar las fuerzas brutas, inyecciones SQL, accesos no autorizados, etc. pero muchas veces utilizan nombres conocidos como /admin , /adm o incluso /admin.php o lo que es peor lo dejan escrito en el archivo robots.txt para que los buscadores no lo indexen.

Admin_Finder es un código escrito en Python por lo cuál es bastante simple comprender el comportamiento de la herramienta, tiene la posibilidad de escoger diferentes diccionarios para los lenguajes más conocidos como PHP, ASP, CFM, JS y CGI de esta forma va a buscar todas las coincidencias o lo que es igual a sus response 200

@Funji_Security conversando por Twitter me comentó que proximamente va a estar publicando algunas mejoras directamente en su blog personal, desde ya muchas gracias por compartir el código y alentamos a ver esas mejoras,

Saludos!

Enlace | Admin_Finder

16 de enero de 2014

En busca de Hackers

Debo reconocer que "En busca de Hackers" es un documental de Hackink y Software Libre que ya tiene unos años pero que sin embargo realmente me pareció muy interesante, hoy lo encontré en YouTube y se los comparto para que lo vean.



Saludos!

14 de enero de 2014

SQLMap Training: Probando inyecciones en la plataforma DVWA

En varias oportunidades hablamos sobre DVWA, una excelente plataforma y escenario para poder probar y prácticas algunas técnicas hacking de las que vamos aprendiendo, con diferentes retos como LFI/RFI, CSRF, XSS, Brute Force, SQL Injection entre otras y distintos niveles de dificultad.

Con SQLMap tambien podemos “romper” DVWA de una forma muy simple e incluso en sus diferentes niveles de dificultad, recuerden que la magia de DVWA es no utilizar herramientas para saltear los retos, sino es utilizar la cabeza y los conocimientos de programación para explotar cada una de las vulnerabilidades, pero hoy DVWA nos sirve para demostrar que no hay imposibles para SQLMap.

Recuerdan que para entrar a DVWA deben suministrar unas credenciales? Bueno es importante saber que para hacer uso de sqlmap y comenzar a explotar la plataforma vamos a utilizar la sesión del usuario que se generó en el servidor.

En el apartado SQL Injection dentro de DVWA encontramos un formulario muy pequeño, con un aspecto de buscador esperando el ingreso de un valor para efectuar dicha búsqueda.


Es mucho más rápido instalar DVWA en una máquina local, nuestra URL puede tener el siguiente aspecto:

http://localhost/dvwa/vulnerabilities/sqli/?id=4&Submit=Submit#

Es posible ver que en toda esta URL hay una variable llamada id con un valor asignado, con lo cuál nos da la nación de investigarla un poco más a fondo.

Es hora de que SQLMap entre al juego y para ello vamos a utilizar la opción --cookie para mencionar la sesión con la que estamos trabajando. Esta información podemos obtenerla directamente desde phpinfo de la aplicación.

$ ./sqlmap.py -u "http://localhost/dvwa/vulnerabilities/sqli/?id=4&Submit=Submit#" --cookie="security=low; PHPSESSID=dsafmp1oic81np89uf9ihj8c30" -v 3

9 de enero de 2014

Cloud Services for Dummies

Este es un ebook que IBM liberó en forma gratuita para todos, con el fin de conocer y explotar al máximo las bondades del Cloud Computing.


Ya sea pública, privada o híbrida, el Cloud Computing se está convirtiendo en una parte integral de la estrategia de negocio y la tecnología de muchas empresas. Hay muchos modelos de entrega diferentes, pero dos servicios fundamentales son esenciales para la estratégica de la infraestructura informática general:

  • Infraestructura como Servicio (IaaS) le permite tener acceso a calcular y recursos de almacenamiento en un modelo de demanda.
  • Plataforma como servicio (PaaS) se sienta en la parte superior de IaaS y le permite crear aplicaciones para apoyar el negocio.

8 de enero de 2014

The Original Hacker Nº 3


Anoche y como todos los primeros Martes de cada mes, ya se encuentra disponible el tercer número de la revista digital y técnica “The Original Hacker” creada por Eugenia Bahit @eugeniabahit, y para este número se encuentran varios temas interesante:


  • Ingeniería Inversa de código en la Seguridad Informática como forma de detección de vulnerabilidades
  • Bash Scripting avanzado: Utilizando declare para la difusión de tipos
  • Ingeniería de Software: De lambdas, closures, wrappers y decoradores. Desmitificando Python Parte I
  • Europio Engine Lab: Consumir la API de Europio Engine desde el Front-end de un sitio web estándar


26 hojas para cargar en la tableta y llevar a todas partes.

Saludos!

Enlace | The Original Hacker Nº 3

6 de enero de 2014

Ojo con tus datos

Muy buenos días, excelente año nuevo para todos! Hoy volvemos a lo que más nos gusta y que es el #Hacking como tal luego de vivir unos extensos festejos por la llegada de este año.

La cadena rtve.es casí al final del 2013 creó un documental de lo más interesante sobre privacidad y seguridad en Internet con la participación y opiniones de diferentes profesionales en la materia, desde Abogados hasta Hackers.

Muy interesante para mostrar a todos los miembros de la familia ya que es un tema que nos preocupa a todos.

Ver el Video




Saludos!

1 de enero de 2014

Feliz 2014

3 ... 2 ... 1 


Feliz año nuevo para todos! A comenzar con el pié derecho y mi deseo para un muy buen 2014 para todos.

Saludos!

Entradas populares