15 años de SQL Injection

En esta conferencia en la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, Chema Alonso, un una divertida charla, nos cuenta sobre la historia y la evolución de las técnicas de SQL Injection.

A disfrutar.

Saludos!

The Original Hacker - jugando con la inteligencia

Hoy es el lanzamiento de la revista digital The Original Hacker creada por mi amiga Eugenia Bahit con el objetivo de lograr un compilado de información para profesionales a los que realmente les apasiona su carrera; para quienes verdaderamente disfruten jugando con la inteligencia, más allá de la tecnología.

La propuesta es abarcar, al menos, los siguientes 5 temas en cada una de las ediciones mensuales:

• Shell Scripting: con mayor énfasis en Python y en Bash, pero experimentando también con otros lenguajes;
• Seguridad informática: basada no solo en seguridad de aplicaciones en capas a nivel de código, sino también, en protección a nivel sistema;
• Ingeniería tradicional de Software: abarcando las técnicas y prácticas más avanzadas de la ingeniería de Software, aplicadas en Python y PHP;
• Ingeniería Inversa: haciendo hincapié más que nada en los procesos de razonamiento implementados en la Ingeniería Inversa aplicada al desarrollo de Software;
• Taller de desarrollo y laboratorio con Europio Engine;

Saludos!

Enlace | OriginalHacker.org
Descarga | The Original hacker Nº 1

#GitHub Hacking: conexiones MySQL

Volviendo a jugar con la caja de sorpresas de GitHub, les quería dejar una nueva cadena de búsqueda para GitHub que les va a sorprender.

Antes de comenzar a utilizar los framework de PHP, en particular Symfony fue el que siempre me gustó de la cantidad de alternativas conocidas, uno como programador buscaba la forma de programar lo más escalable posible, con el afán de establecer una conexión con MySQL, díganme quién no utilizó alguna vez la función mysql_connect();

Bueno, eso es justamente lo que vamos a buscar en GitHub.

mysql_connect('localhost', *)

y nos damos con que hay más de 40.000 códigos de proyectos que publican la forma en como se conectan con su servidor de base de datos, tampoco hay que ser muy adivino para saber cuáles son los argumentos de la función mysql_connect() que son server, username y password.

Para sorpresa mía, en la documentación oficial de PHP, nos dice que esta función está obsoleta a partir de PHP 5.5.0 y se eliminará en un futuro. Las nuevas alternativas son mysqli_connect() y PDO::__construct() 

Seguridad Informática con Software Libre

Este es el nombre de la charla que voy a estar dando junto a mi amigo Jorge Riera el Martes 29 de Octubre, de 16hs a 18hs en el Aula Virtual de la Facultad de Ingeniería, San Salvador de Jujuy – Argentina.

Desde ya muy agradecido a todo el equipo de Tecnomati.co la nueva Cooperativa Informática, por su invitación a participar del evento que es totalmente gratuito y a beneficio de la Escuela Primaria Rural Nº313, “Constancio Vigil” de San Pedro de Jujuy y de una Escuela de la Puna Jujeña.

Si bien la entrada es totalmente gratuita, necesitamos que nos ayude con un alimento no perecedero,  ropa, calzado, útiles. Ayudanos a ayudar.

Por otro lado la Cooperativa Informática Tecnomati.co se encuentra haciendo una gira por varias localidades de la Provincia dando charlas por San Pedro, La Quiaca y San Salvador de Jujuy.

Respecto a nuestra charla, “Seguridad Informática con Software Libre” vamos a intentar entrar en el  mundo de la Seguridad Web, algunas introducciones y comprender su actualidad. Le vamos a mostrar que es OWASP, para no meternos en problemas vamos a utilizar un entorno controlado DVWA y finalmente vamos a aprender algunas pruebas de conceptos en los fallos más populares.

Los esperamos! Saludos.

Enlace | Tecnomati.co

Solo para programadores

Se termina la semana, muchas gracias anticipada por votar por Cacería de Spammers para los premios Bitacoras 2013 nominado a mejor blog de Seguridad Informática.

Despedimos la semana con un poco de humor solo para programadores

Recuerden, si no cumplen con todos estos principios, hay tabla

Saludos!

SQLite: rápido, ágil, liviano y robusto

Este post no tiene que ver mucho con temas de Seguridad o de Hacking, pero encontré este material escrito hace unos años para la revista Linux+ sobre SQLite junto a un gran amigo salteño, Gerardo Cabero y me pareció un buen momento para compartirlo desde Scribd.

Quienes son programadores, les recomiendo dedicarle un par de horas a aprender SQLite, un fantástico pseudomotor de Base de Datos.

SQLite by SqliteLatino

Firewall Panic

Desde hace mucho tiempo utilizo FireHOL, un constructor de firewall basado en iptables fantastico,  aprendí mucho leyendo su código fuente escrito en Bash y entendí muchas de las reglas para cada uno de los servicios, de más esta recomendarle esta aplicación para sus terminales y servidores Linux.

Entre tantas de las opciones me gustó una en particular llamada modo panic, la idea es cuando detectamos cierto tráfico o  vemos muchas conexiones abiertas por algún ataque de tipo DoS podemos ejecutar este script cerrando todos los servicios y dejando solo la ip del administrador para poder administrarlo.

Les comparto el enlace a pastebin.com para que puedan ver el código fuente, mejoras? Estoy seguro que hay un montón pero para comenzar creo que está bien.

Saludos!

Enlace | firewall_panic.sh

Plan de Contingencias

Una de las cosas a las que me dedico es al apasionante mundo de la administración de redes, entre tantas cosas, con lo cuál tenemos la profesión de solucionarlo todo y de aceptar que todo lo que pasa es culpa nuestra, por lo menos eso es lo que piensan los clientes de la red y esa es parte de la vida de un SysAdmin.

Hoy quería hablarles o dejarle en realidad algunos documentos o la bibliografía de consulta para estructurar un buen Plan de Contingencia o recuperación ante cualquier problema, pero antes me gustaría hablar un poco sobre estos documentos.

Es sabido que todo sistema, Data Center, Estructura de Rede, etc va a sufrir en cualquier momento algún desperfecto, un mal funcionamiento, un fallo, un compromiso de seguridad, etc. entonces ante esta premisa por que no armar un documento en donde podamos planificar paso a paso como recuperarse ante un evento desafortunado ya sea de Hardware o de Software también conocido como físico y lógico.

Para ello va a ser necesario entre tantas cosas, conocer y reconocer todas las cosas que administramos, sus posibles riesgos, fallas, su nivel de impacto, sus probabilidades de ocurrencia, etc. y armarlo todo en un documento con la idea que pueda ser revisado por todos los miembros del departamento o demás profesionales en cada área.

Google Hack: Encontrando diferentes versiones de Symfony2

En estos días volví a mi actividad de programador, sin duda, junto a uno de los mejores framework que utilicé como es el caso de Symfony2, realmente una recomendación para aquellos no hasta ahora no han tenido la suerte de verlo en acción.

Junto a ello y en búsquedas de nuevas cosas en Internet, me crucé con un nuevo dorks de Google que me va a permitir identificar con qué versión de Symfony2 están utilizando.

El problema nuevamente radica en que el/los programadores de dichas aplicaciones modificaron un parámetro de configuración que permite a los desarrolladores poder visualizar el entorno de desarrollo (dev) desde cualquier lugar que no sea localhost esto es posible verlo desde el código de GitHub del archivo /web/app_dev.php

Es por ello que es muy necesario mantener un ambiente de desarrollo en localhost o en otro servidor  de pruebas que se diferencie de los ambientes de producción y utilizar como buenas prácticas un sistema de control de versiones como es el caso de Git, Subversion, mercurial, etc.

Google Hack: Las demos de Symfony2

Este va a ser mi tercer dorks encontrado utilizando las búsquedas de Google que una vez más me va a permitir afirmar que la aplicación está programada con Symfony2.

Nuevamente, nos aprovechamos de algunos descuidos de los programadores que habilitaron el entorno de desarrollo (app_dev.php) a todos, pero que además no se tomaron el trabajo de eliminar la demo que trae Symfony2 por default.

Para comprender un poco más, cuando un programador comienza a realizar sus primeros pasos en Symfony2, el mismo framework trae una demo para comprender de manera simple y rápida como es el modo de operar, como se realizan las consultas, como trabaja el controlador y finalmente renderiza Twig las vistas. Les comento esto por que a todos los que nos gusta Symfony2 estoy seguro que aprendimos de ello.

El problema nuevamente está cuando la aplicación se sube a producción con todos estos ejemplos, entonces pasan cosas como por ejemplo estas:

inurl:/web/app_dev.php/demo "Symfony - Demos"

Google Hack: Login en aplicaciones en Symfony2

 Creo que se los comenté en algún momento, de todos modos lo repito, Symfony2 es uno de los mejores frameworks de programación en PHP5 que se encuentra en el mercado y por la cuál muchos programadores nuevamente se están dedicando a PHP ya que Ruby y Python comenzaron a ganar terrenos en estos últimos años.

Todos los que seguimos detalle a detalle la documentación de Symfony2 en el apartado de seguridad nos explica como realizar un sistema de autenticación, como crear los firewall y las ACL, de más está decir sobre la creación de las entidades, routing, controlador y vistas.

El tema está en que nuevamente por descuido muy grande de parte de los programadores, es posible acceder a en un entorno de desarrollo que no es necesariamente http://localhost es posible ver la barra de depuración, como primer error grave y luego la ruta de login que siempre la setearon así.

Checklist de Seguridad para #PHP

¿Programadores en PHP? Estoy seguro que si, de hecho muchos de nosotros comenzamos con la web aprendiendo un poco de PHP, conociendo los escenarios LAMP y jugando con esas cosas desde hace tiempo.

Figura 1: Checklist de Seguridad para PHP

Hoy está realmente al rojo vivo el hecho de explotar vulnerabilidades al servidor y a las aplicaciones, donde los programadores descuidan algunas recomendaciones de seguridad, tales como SQL Injection, LFI, RFI, XSS y la lista puede extenderse más.

Es bueno siempre estar chequeando cada línea de código programada y realizar los correspondientes test de aceptación de toda la aplicación, para ir reduciendo cualquier tipo de riesgo futuro que pueda llegar a comprometer el sistema en general.

Este documento corresponde a OWASP, que desde hace ya tiempo publicó un Checklist muy conocido, sobre los mínimos aspectos a tener en cuenta para configurar nuestra aplicación en PHP de forma segura.

Enlace | PHP Security Cheat Sheet