W3af con repositorio en GitHub

Antes de comentarles algunas novedades que estuve leyendo este fin de semana, quería agradecer a todos y cada uno de los usuarios que siguen este blog y lo acompañan con sus comentarios, Tweets, RT, Facebook, RSS, sus votos en Bitacoras, etc realmente estoy muy contento por todos sus mensajes.

Lo que le voy a contar nuevamente creo que no es noticia, sin embargo me pareció excelente que la herramienta de auditoría web w3af creada por Andres Riancho, se halla pasado a GitHub luego de un excelente trabajo en SVN y junto a una renovación en la página web oficial del proyecto..

Resulta que al igual que muchas herramientas de seguridad, tenía instalada desde hace tiempo, y simplemente me tomaba el tiempo para actualizarla antes de ejecutarlas, lo mismo me pasó con msf que al tiempo me enteré que estaban en GitHub.

Desarrollo web con Symfony2 en @tuxinfo

Hoy tengo la grata noticia de anunciarles que salió publicada la primera entrega sobre Desarrollo web con Symfony2 en la revista digital TuxInfo donde una vez más colaboré con esta nota.

Desde ya muy agradecido principalmente a Ariel Corgatelli @arielmcorg director de la revista por la invitación y a todo el equipo de edición y diseño.

Ojalá cumpla con las expectativa de los lectores y le sea de interés para los nuevos desarrolladores web.

Saludos!

Enlace | TuxInfo Nº 56

Google Hack: Buscando los login de ISPConfig

Listos para buscar más dorks en Google? la idea de hoy es identificar el panel de autenticación para la administración de servidores que se hace con ISPConfig y que muchos proveedores de hosting lo utilizan.

ISPConfig es un software de gestión y administración de Hosting para los sistemas GNU/Linux, que permite administrar múltiples servidores desde un panel central, y que se encuentra bajo la licencia BSD.

Desde ISPConfig podemos administrar diferentes tipos de perfiles de usuarios, los servicios que se ejecutan en el servidor, Firewall, Quotas de disco, email, DNS, etc.

Sería como administrar un servidor Linux completo pero desde un navegador web en vez de hacerlo por una consola de comandos. Ahora nos imaginemos por un seguro que podría hacer un posible atacante que tenga acceso a las credenciales del administrador.

Recursos para comprender los ataques XSS por @lord_epsylon

Los ataques de tipo XSS realmente son fascinantes, tanto por el contexto en los que ocurren como por lo valioso que son estos fallos, y sin duda la herramienta por excelencia para sacar partido de esta vulnerabilidades es XSSer.

La Rooted Con del año pasado (2012) nos acercó una conferencia de @lord_epsylon el creador de este estupendo Framework y junto a ello un tutorial de varias páginas para entender y comprender la raíz de los ataques de tipo XSS y la forma en la cuál podemos protegernos de los mismo.