Acostumbrado a entrar en páginas como SecurityFocus o Milw0rm, ya me canso de siempre ver lo mismo, cada segundo sale una vulnerabilidad nueva que tiene que ver con CMS, o demás en lenguaje PHP. Ya sea porque trabajan muchos programadores y aunque intenten programar de forma segura se les escape algo, o porque ni se preocupen de la seguridad, siempre hay vulnerabilidades.
Por lo que, para los vagos, o los pobres que no puedan contratar una empresa especializada, hay bastante buen código que te hace un análisis bastante eficaz.
Os dejo dos herramientas:
Skavenger:
Esta herramienta busca fallos en php, aunque modificándola puede buscar en más tipo de lenguajes mediante el uso de expresiones regulares más que nada.
DAphpscan:
Funciona mediante expresiones regulares y es bastante más completa que la anterior, busca entre otras cosas: RCE, RFI, LFI, XSS, Inyecciones SQL, CSRF, etc...Todo basandose en funciones que suelen conllevar algun peligro y que no sn filtradas adecuadamente, o no están declaradas correctamente.
Yo personalmente no las probe con código, pero con sólo ver como es el código de ambas, sobre todo de la segunda, se ve que puede detectar fácilmente fallos.
Os dejo un sitio donde hablan de la auditoría en PHP
viernes, 29 de agosto de 2008
lunes, 18 de agosto de 2008
Yashira y CracksLatinos cumplen años
Yashira
Cumple 5 años en la red, el 17 de agosto del 2003, apareció yashira como una comunidad de retos de hacking, programación, ingeniería inversa y demás cosas, y aunque antes era hackyashira. com, ahora quedó como yashira.orgEn una comunidad que poco a poco aguanta con los años y con ayuda de los admins, y usuarios, han ido enviando retos, algunos de gran nivel donde aprender bastante.
Poco a poco se ha ido haciendo una gran comunidad y de las primeras web en retos de informática en español.
Además hoy mismo he tenido la suerte que me han nombrado admin del sitio, así que ahora tendré más trabajo aún ejej, cuando necesitéis algo ya sabéis, podéis consultar.
CracksLatinos
Cumple 8 años en la red, el 18 de agosto del 2000, es el lugar por excelencia de ingeniería inversa en castellano y bastante importante a nivel internacional, apareció en la epoca que había muchas páginas de crackers y grupos creo. Bastante buena como ya dije en otro post.
viernes, 1 de agosto de 2008
El trabajo de Ricardo Narvaja y el grupo CrackLatinos
Esta vez voy a hablar de la ingeniería inversa, una lista que es CrackLatinos y un autor que es Ricardo Narvaja, cuyo trabajo te da bastantes conocimientos sobre la ingeniería inversa, junto a todas las colaboraciones que se hacen a la lista de Cracklatinos por tantos autores que me extendería demasiado.
La "Introducción al Cracking con ollydbg desde cero" hecha por Ricardo Narvaja. Además de cursos actuales como el de python y otros posteriores que hará de exploiting y todos ellos de bastante buena calidad, le hacen importante en el ámbito de la ingeniería inversa.
Además te contesta siempre que puede en la lista de forma rapidísima, te ayuda y colabora bastante lo que le hace un gran tío.
Para aprender, organiza concursos de distinta temática, entre ellos:
Tenéis todo el trabajo de CrackLatinos y Ricardo en su FTP, se puede entrar mediante http://www.ricardonarvaja.info, allí se encuentran los concursos, aportaciones de la gente y obras otras cosas que podréis descubrir.
Podrás encontrar hasta un índice de las aportaciones, protecciones que trae y las técnicas antidebugging entre otras cosas.
Así que, en definitiva, pasaros por la lista o por la web si os interesa aprender sobre ingeniería inversa.
Aprovecho para saludar a la gente de allí: dapaf, boken, ricnar, apuromafo, solid, NCR, gera, karmany, etc, etc.
La "Introducción al Cracking con ollydbg desde cero" hecha por Ricardo Narvaja. Además de cursos actuales como el de python y otros posteriores que hará de exploiting y todos ellos de bastante buena calidad, le hacen importante en el ámbito de la ingeniería inversa.
Además te contesta siempre que puede en la lista de forma rapidísima, te ayuda y colabora bastante lo que le hace un gran tío.
Para aprender, organiza concursos de distinta temática, entre ellos:
- Para quitar distintas protecciones que pueda traer un programa, unpacking...
- Sacar serials a programas hechos para la labor(crackmes)
- Exploiting, para entender como se pueden explotar los fallos en software.
Tenéis todo el trabajo de CrackLatinos y Ricardo en su FTP, se puede entrar mediante http://www.ricardonarvaja.info, allí se encuentran los concursos, aportaciones de la gente y obras otras cosas que podréis descubrir.
Podrás encontrar hasta un índice de las aportaciones, protecciones que trae y las técnicas antidebugging entre otras cosas.
Así que, en definitiva, pasaros por la lista o por la web si os interesa aprender sobre ingeniería inversa.
Aprovecho para saludar a la gente de allí: dapaf, boken, ricnar, apuromafo, solid, NCR, gera, karmany, etc, etc.
viernes, 11 de julio de 2008
Cambios en el Blog
Hice unos pequeños cambios en el blog, y agregué varias categorías de enlaces y demás. Para empezar:
-Mis Artículos: Lugar donde incluyo todo lo que voy escribiendo para la comunidad, y algún artículo lo meteré más adelante como inacabado, ya que hay temas en los que escribo algo, pero al poco tiempo descubro algo nuevo y megusta avanzar el tutorial y el tema, y mostrar lo que aprendí. Por ejemplo el taller, poco a poco iré escribiendo un gran tutorial más completo y junto para que no se pierda y ayude a todos.
A día de hoy está posteado los siguientes atículos:
-Mis Vulnerabilidades: Aquí irán los fallos que descubra, en principio para p1mp4m, pero los publicaré en securityfocus y demás.
Actualmente disponibles estas:
-Mis exploits: Enlaces a los exploits que he hecho, aunque tengo alguno como el VLC, preferí meterlo como artículo.
Y ahí agregaré estas pequeñas cosas con tiempo ya que irán creciendo, lo demás apartados como el de datos personales, donar, links interesantes y lo de votar, ya estaban en línea.
-Mis Artículos: Lugar donde incluyo todo lo que voy escribiendo para la comunidad, y algún artículo lo meteré más adelante como inacabado, ya que hay temas en los que escribo algo, pero al poco tiempo descubro algo nuevo y megusta avanzar el tutorial y el tema, y mostrar lo que aprendí. Por ejemplo el taller, poco a poco iré escribiendo un gran tutorial más completo y junto para que no se pierda y ayude a todos.
A día de hoy está posteado los siguientes atículos:
- Taller sobre Stack-based Buffer Overflow - Falta ir completándolo
- Explotando VLC <=0.86.e desde Web Automaticamente
- S21sec --> 2º Reto de Ing. Inversa
- Análisis de Malware Básico
- Ataque Sencillo a Aplicación Flash
-Mis Vulnerabilidades: Aquí irán los fallos que descubra, en principio para p1mp4m, pero los publicaré en securityfocus y demás.
Actualmente disponibles estas:
- P1MP4M-08-007-->Trillian 3.1.9.0 DTD File Buffer Overflow
- P1MP4M-08-006-->Producto...Activex Multiples Controls Buffer Overflow
- P1MP4M-08-005-->Piczo Fast Picture Uploader Buffer Overflow
- P1MP4M-08-004-->Sony ImageStation 1.0.0.38 Buffer Overflow
- P1MP4M-08-003-->OpenSiteAdmin 0.9.1.1 Multiple File Inclusion Vulns
- P1MP4M-08-002-->All Club CMS 0.0.1f index.php Local File Inclusion
- P1MP4M-08-001-->Total Player 3.0 M3U Playlist Parsing Buffer Overflow
-Mis exploits: Enlaces a los exploits que he hecho, aunque tengo alguno como el VLC, preferí meterlo como artículo.
Y ahí agregaré estas pequeñas cosas con tiempo ya que irán creciendo, lo demás apartados como el de datos personales, donar, links interesantes y lo de votar, ya estaban en línea.
lunes, 30 de junio de 2008
Ser persona - Proyecto Avaaz
Avaaz es una organización sin ánimo de lucro, que recauda dinero para mandar a países que lo necesiten pero lo más importante, es su poder mediático, ya que a base de firmas con la que la gente apoya a sus proyectos, presionan a los gobiernos directamente e intentan mejorar el problema. En mi opinión, me parece una buena forma de ayudar a los que lo necesitan y que no necesitas mucho tiempo para hacerlo además. Podéis mirar los comunicados de prensa de distintos medios para ver que no parece un timo y todo su trabajo bajo el lema de "El mundo en acción".
Sólo os quitará un pequeño rato de vuestro tiempo y de este modo tal vez consigais ayudar algo si os lo habéis propuesto.
Página web: http://www.avaaz.org/es/
Sólo os quitará un pequeño rato de vuestro tiempo y de este modo tal vez consigais ayudar algo si os lo habéis propuesto.
Página web: http://www.avaaz.org/es/
martes, 24 de junio de 2008
Ibercivis - Colabora con la ciencia
Ibercivis es un proyecto del CSIC que tiene distintas finalidades, entre esos proyectos están:
-Fusión (Energía de futuro, energía limpia)
-Materiales (Patrones de la Naturaleza a usar en neustra vida cotidiana)
-Proteínas (Fármacos contra el cáncer)
Para ayudar en este proyecto se pide la colaboración de las personas que tienen un ordenador principlamente y que no te va a tomar mucho tiempo en hacer una serie de pasos para instalar el software necesario.
Pasos a seguir:
Vayamos a la pagina del BOINC, programa necesario para los cálculos(Win).
http://boinc.berkeley.edu/download.php
Le damos a descargar y directamente nos lleva a la aplicación a descargar, en mi caso
es esta la versión actual.
http://boincdl.ssl.berkeley.edu/dl/boinc_5.10.45_windows_intelx86.exe
Vamos a intstalar, seguimos los pasos y damos a siguiente hasta llegar aquí.
La primera opción sólo para cuando estés en tu sesión.
La segunda para todas las sesiones, si quieres que se ayude en cualquiera, recomendable.
La tercera para que funcione como servicio, tal vez no muy recomendable ya que te deja sin algunas opciones pero funcionaría automaticamente todo el rato y es una ventaja.
Después:
Señalamos las dos opciones: Make BOINC your default screensaver, si queremos tenerlo como salvapantallas y Launch BOINC when logging on para que se ponga na mas te loguees al windows.
Finalmente instalamos.
Después pondrá un puerto a la escucha y podremos trabajar con el programa.
Para unirse al proyecto hace falta ir a:
Herramientas-Unirse a un proyecto
Ponemos la url http://registro.ibercivis.es/
Si os da pereza tener que andando registrar un usuario ahí os dejo uno, no lo modifiquéis por favor.
Usuario:trancek@p1mp4m.es
Contraseña:p1mp4m
Y listo, ya funciona sólo.
Esta página es para los que tengan linux y demas S.O.
http://boinc.berkeley.edu/download_all.php
PD:Si poneis el primero o segundo de las 3 opciones que había, agregarlo al regedit en run para que aparezca al iniciarse el pc, si no sabéis dejar un mensaje.
-Fusión (Energía de futuro, energía limpia)
-Materiales (Patrones de la Naturaleza a usar en neustra vida cotidiana)
-Proteínas (Fármacos contra el cáncer)
Para ayudar en este proyecto se pide la colaboración de las personas que tienen un ordenador principlamente y que no te va a tomar mucho tiempo en hacer una serie de pasos para instalar el software necesario.
Pasos a seguir:
Vayamos a la pagina del BOINC, programa necesario para los cálculos(Win).
http://boinc.berkeley.edu/download.php
Le damos a descargar y directamente nos lleva a la aplicación a descargar, en mi caso
es esta la versión actual.
http://boincdl.ssl.berkeley.edu/dl/boinc_5.10.45_windows_intelx86.exe
Vamos a intstalar, seguimos los pasos y damos a siguiente hasta llegar aquí.
La primera opción sólo para cuando estés en tu sesión.
La segunda para todas las sesiones, si quieres que se ayude en cualquiera, recomendable.
La tercera para que funcione como servicio, tal vez no muy recomendable ya que te deja sin algunas opciones pero funcionaría automaticamente todo el rato y es una ventaja.
Después:
Señalamos las dos opciones: Make BOINC your default screensaver, si queremos tenerlo como salvapantallas y Launch BOINC when logging on para que se ponga na mas te loguees al windows.
Finalmente instalamos.
Después pondrá un puerto a la escucha y podremos trabajar con el programa.
Para unirse al proyecto hace falta ir a:
Herramientas-Unirse a un proyecto
Ponemos la url http://registro.ibercivis.es/
Si os da pereza tener que andando registrar un usuario ahí os dejo uno, no lo modifiquéis por favor.
Usuario:trancek@p1mp4m.es
Contraseña:p1mp4m
Y listo, ya funciona sólo.
Esta página es para los que tengan linux y demas S.O.
http://boinc.berkeley.edu/download_all.php
PD:Si poneis el primero o segundo de las 3 opciones que había, agregarlo al regedit en run para que aparezca al iniciarse el pc, si no sabéis dejar un mensaje.
sábado, 14 de junio de 2008
Vacaciones en Italia
Pues ale que me voy pa Italia de vacas, quien quiera algo que me deje un correo, y para validar algunos de los retos de yashira.org molesten a los admins jejje, bueno bye byeeee
Suscribirse a:
Entradas (Atom)