Archivos de la categoría wh0s

ngrok, tuneliza tu localhost y haz pruebas online

El otro día nos encontramos con la necesidad de llevar a cabo unas pruebas sobre una web en local, ante la necesidad de querer hacer alguna prueba desde internet y lógicamente no poder llegar a nuestra máquina, nos encontramos con la herramienta gratuita ngrok, que personalmente no conocíamos.

Lo que hace esta herramienta es “tunelizar” nuestro localhost, creando un acceso directo a nuestro entorno a través de un dominio temporal, de manera que durante el tiempo que esté levantado será accesible desde internet de manera segura. Lo que hace es colocar un firewall/NAT entre nuestro localhost e Internet:

Los posibles usos de esta herramienta son :

  • Realizar test de los cambios hechos en pre-producción.
  • Realizar pruebas para conocer cómo se muestran las webs en distintos navegadores.
  • Mostrar avances en el desarrollo del proyecto, de manera que el cliente pueda ver los cambios solicitados y el estado del desarrollo.
  • Realizar test de seguridad para conocer si las configuraciones son adecuadas.
  • Etc.

Sigue leyendo ngrok, tuneliza tu localhost y haz pruebas online

Llega… hackersClub

Como seguro ya sabéis, ha nacido una nueva plataforma de formación centrada en seguridad informática, se llama hackersClub y su objetivo es acercar el mundo de la seguridad a todos de una manera clara, entendible y centrado en demostraciones prácticas.

Los creadores de esta plataforma son Pablo Gónzález y Rafa Sánchez, profesionales reconocidos en el mundo de la seguridad informática, con gran experiencia y conocimiento.

Desde Wh0s os deseamos lo mejor en este nuevo proyecto que arranca.

Además de una plataforma de formación, hackersClub pretende fomentar la comunidad a través de reuniones para dar charlas y hacer networking.

Sigue leyendo Llega… hackersClub

(Otro) Ejemplo de phishing

Hola,

después de un tiempo sin publicar, os traemos un intento de phishing que ha llegado a nuestro correo, en este caso el contenido del mensaje es el siguiente:

contenidocorreo

De primeras ya es sospechoso, no conocemos al emisor del mensaje, el asunto del que nos está hablando no nos suena, y el primer error en el correo nos le encontramos en la redacción, ya que firma el mensaje con el nombre de Marta, pero en el correo aparentemente se llama Eduardo. Sigue leyendo (Otro) Ejemplo de phishing

CVE Details

Otra vez estamos por aquí..

En primer lugar, queremos disculparnos por la irregularidad que tenemos en nuestros post.. está siendo una época complicada con muchos cambios tanto a nivel personal como a nivel profesional y es muy complicado sacar tiempo para poder escribir post que merezca la pena… pero prometemos intentarlo.

Hoy vamos a hablar de una web, que muchos conoceréis, pero que resulta muy interesante a la hora de realizar la securización de sistemas: http://www.cvedetails.com/

Es una base de datos de vulnerabilidades actualizada y con un nivel muy alto. de actualización.

En mi caso,  suelo utilizarla a modo de concienciación con los clientes. Por ejemplo, hace poco, tuvimos un caso de un sistema que no era actualizado y estaba sin soporte. Según el responsable de la aplicación, no había ningún problema con ese sistema, ya que la aplicación pese a no estar actualizada era segura.  Una vez visto, en que sistema operativo y que aplicaciones tenía instalada la máquina, pude ver que utilizaba una versión de Apache TomCat con vulnerabilidades conocidas. Por este motivo, le presenté las vulnerabilidades presentes en esa versión concreta para que viese por si mismo, que el sistema, necesitaba ser actualizado para evitar problemas de seguridad:

Capture

Esta web, nos proporciona también estadísticas sobre número de vulnerabilidades por fabricante, estadísticas anuales, filtros por temática… En definitiva, datos que podemos presentar para apoyar la necesidad de actualizar sistemas

Capture2

Esperemos que os sea de utilidad.

¡Nos vemos pronto!

Hacking Toys

Hola!

Tras mucho tiempo sin pasarnos por aquí, prometemos volver con fuerza, esta es la primera entrada que hacemos en 2016, y esperamos que venga seguida de otras muchas.

En esta ocasión, os vamos a hablar de una serie de post que vamos a ir realizando, y que van a tratar sobre “Juguetes de hacking” o dicho de otra forma, hardware que nos va a ayudar a realizar distintas tareas de pentesting, dependiendo de qué estemos auditando.

Sigue leyendo Hacking Toys