ATOR – Authentication Token Obtain and Replace – Burp Suite plug-in para mecanismos de sesión complejos

Vamos herramienta de suite de eructos tiene un mecanismo de sesión incorporado, cada vez más a menudo me encuentro con situaciones en las que simplemente no puedo hacer frente a mantenerlo activo. Esto suele deberse a uno de los siguientes factores: Tokens CSRF dinámicos ocultos en diferentes lugares de la… Continue reading

Evaluador de CSP: ¿es segura la directiva de CSP?

CSP (Content Security Policy) es un mecanismo de seguridad implementado en todos los navegadores web populares modernos. Su objetivo principal es proteger contra los ataques frontend , especialmente contra las vulnerabilidades XSS. Algunos errores comunes cometidos en el desarrollo de las políticas csp permiten eludirlo. Para asegurarse de que no… Continue reading

Contenido oculto : ¿sabes qué buscar? Listo buen diccionario.

Las herramientas de enumeración como DIRB requieren un diccionario especialmente preparado que a veces contiene cientos de miles de los nombres de carpeta y archivo más comunes. Sus tecnologías están cambiando constantemente, y con ellas los caminos hacia el contenido aparentemente oculto. Para llevar a cabo correctamente los ataques de… Continue reading

PassiveTotal – buscar subdominios ocultos

Al participar en rebeliones de errores o pruebas de penetración, es extremadamente importante obtener la mayor cantidad de información posible sobre el propósito de su ataque. Llamamos a esto la fase de reconocimiento. A veces se pueden lograr efectos interesantes haciendo referencia a dominios, subdominios o direcciones IP antiguos, olvidados… Continue reading

Impresoras para hospitales es una acción inusual en la lucha contra la pandemia de coronavirus

Como todos sabemos, la epidemia de COVID-19 en nuestro país se está acelerando. Para que no repitamos el trágico escenario que vemos en Italia cada vez que podamos- quedémonos en casa. Se están organizando diversas acciones y recaudaciones de fondos en respuesta a la petición de una enorme escasez de… Continue reading

Retirar.js – la respuesta a la pregunta es si está utilizando componentes obsoletos

Es extremadamente lento para cavar manualmente a través del código fuente para identificar todas las bibliotecas obsoletas y vulnerables de nuestra aplicación web. Podemos automatizar un poco esta tarea con el .js. Está disponible tanto desde el navegador(Chrome, Firefox)como desde el plugin Burpa. "Usar componentes con vulnerabilidades conocidas" es la… Continue reading