Archivos de la categoría hacking

ngrok, tuneliza tu localhost y haz pruebas online

El otro día nos encontramos con la necesidad de llevar a cabo unas pruebas sobre una web en local, ante la necesidad de querer hacer alguna prueba desde internet y lógicamente no poder llegar a nuestra máquina, nos encontramos con la herramienta gratuita ngrok, que personalmente no conocíamos.

Lo que hace esta herramienta es “tunelizar” nuestro localhost, creando un acceso directo a nuestro entorno a través de un dominio temporal, de manera que durante el tiempo que esté levantado será accesible desde internet de manera segura. Lo que hace es colocar un firewall/NAT entre nuestro localhost e Internet:

Los posibles usos de esta herramienta son :

  • Realizar test de los cambios hechos en pre-producción.
  • Realizar pruebas para conocer cómo se muestran las webs en distintos navegadores.
  • Mostrar avances en el desarrollo del proyecto, de manera que el cliente pueda ver los cambios solicitados y el estado del desarrollo.
  • Realizar test de seguridad para conocer si las configuraciones son adecuadas.
  • Etc.

Sigue leyendo ngrok, tuneliza tu localhost y haz pruebas online

Llega… hackersClub

Como seguro ya sabéis, ha nacido una nueva plataforma de formación centrada en seguridad informática, se llama hackersClub y su objetivo es acercar el mundo de la seguridad a todos de una manera clara, entendible y centrado en demostraciones prácticas.

Los creadores de esta plataforma son Pablo Gónzález y Rafa Sánchez, profesionales reconocidos en el mundo de la seguridad informática, con gran experiencia y conocimiento.

Desde Wh0s os deseamos lo mejor en este nuevo proyecto que arranca.

Además de una plataforma de formación, hackersClub pretende fomentar la comunidad a través de reuniones para dar charlas y hacer networking.

Sigue leyendo Llega… hackersClub

Curso de Hacking Ético y Auditoría Informática

Después de tanto tiempo sin escribir por aquí debido a motivos personales y profesionales, hoy nos volvemos a lanzar a escribir para comentaros que el próximo 23 de Octubre da comienzo en A Coruña el curso de Hacking Ético y Auditoría Informática que organiza la Universidad Da Coruña y el centro de formación Aula Nosa en el que vamos a tener el placer de participar desde Wh0s. En el colaboraremos con profesionales como Pablo González, Rafael Sánchez y Miguel Ángel García.
El curso está divido en cuatro módulos, teniendo cada uno de ellos una duración de diez horas y siendo de una temática distinta y especializada. Con este curso, se generará una visión global de la Seguridad de la Información desde el punto más técnico de la mano de Pablo,  Rafa o Miguel, hasta el punto más organizativo con la gestión y el análisis del riesgos por mi parte. Además los diez primeros escritos, tendrán como obsequio el libro de Ethical Hacking: Teoría y práctica para la realización de un pentesting.
Como podéis ver en el díptico adjunto, la primera jornada la dará Pablo González el mismo 23 de Octubre y nosotros tendremos la oportunidad de dar la segunda jornada los días 30 y 31 de octubre.
Esperamos que sea de vuestro interés y que disfrutéis del curso todos aquellos que podáis asistir y prometemos volver pronto con más post!

Fuerza bruta inversa (I)

Hoy vamos a hablar de una técnica de la que ya se ha hablado en muchas ocasiones en otros blogs y páginas de seguridad, la fuerza bruta, pero en este caso nosotros no vamos a hablar de la fuerza bruta en sí, sino de la fuerza bruta inversa, que es menos popular.

Nuestro post de hoy busca combinar esta técnica con otra una vulnerabilidad muy frecuente en las páginas web, la fuga de información a partir de los mensajes de error. Con la combinación de ambas técnicas podemos conseguir acceso a una aplicación que a lo mejor no es vulnerable de otra manera, ya que la fuerza bruta suele ser el último recurso en una auditoría al existir técnicas que logran su objetivo en menos tiempo.

Para ello, en primer lugar vamos a explicar en que consisten cada una de las técnicas:

Un ataque de fuerza bruta inversa, es un ataque que busca a partir de una contraseña (o conjunto de contraseñas) que usuarios están usando esa contraseña, de manera que se tenga un acceso correcto a la aplicación. Teniendo en cuenta que los usuarios suelen tender a buscar la contraseña más sencilla posible y que en muchos casos los desarrolladores buscan la sencillez por encima de la seguridad, hace que sea un ataque satisfactorio en algunos casos.

Este ataque, en resumen, no busca una víctima en concreto sino una que pueda coincidir con la contraseña que estamos introduciendo.

geekandpoke_bruteforce Sigue leyendo Fuerza bruta inversa (I)

Nos vemos mañana en el Tech Fest 2015

Un año más se celebra en la URJC el Tech Fest, y ya van por la cuarta edición. En esta ocasión tenemos el placer de acudir y vamos a hablar de “Breaking Wifi”.

Hay que destacar el crecimiento de este evento que este año se centra en la Seguridad Informática y que incluso han tenido que ampliar a tres días las charlas debido a la cantidad de ponentes y el interés generado.

Os dejamos la agenda, aunque ha empezado hoy, aún estáis a tiempo de pasaros mañana o el viernes:

techfest4

Saludos!