don't do that

Vicnum es una colección de aplicaciones Web intencionalmente vulnerables. OWASP brinda este conjunto de aplicaciones Web que pretenden ser flexibles, realistas y quizá un poco divertidas con el fin de afilar las skills en seguridad y estimular el interés de estudiantes, gerentes, usuarios, desarrolladores y auditores. Las aplicaciones de Vicnum son usadas frecuentemente en ejercicios de CTF en conferencias de seguridad y suelen ejercitar problemas de seguridad comunes como el cross-scripting, las inyecciones sql y los problemas en el manejo de las sesiones. La idea es probar escáneres, técnicas de ataque, herramientas de análisis de código, firewalls y examinar la evidencia dejada por los ataques. Descargas De sourceforge pueden descargarse VMs vulnerables con algunas aplicaciones de Vicnum pero, dado que las aplicaciones son actualizadas individualmente, es mejor idea descargarlos por separado de sourceforge o github. http://vicnum.sourceforge.net/ https://github.com/frida...

El relato que constituye esta entrada puede parecer de naturaleza tercermundista y eso estaría muy bien porque de hecho lo es. Frecuentemente me pongo en el modo de lo que acá se llama "Viejo choto". Básicamente es un conjunto de pensamientos, emociones y acciones relacionados con una nostalgia muchas veces exagerada. En este último arranque nostálgico, me remonté a aprox. el año 2000. Vivía en un pueblo ubicado a orillas de una ruta nacional. En ese momento, mi pueblo natal, que tuvo como origen la explotación clandestina de yerba mate y té, rondaba los 70 años de su existencia y tenía menos de 10 mil habitantes. Yo tenía unos 7 años y leía unas revistas, que quizá conozcan, llamadas PC Users y PC Magazine. Existen hasta el día de hoy. Miraba, además, un programa de televisión sobre videojuegos llamado Nivel X. Tanto la revista como el programa de televisión hacían mención frecuente de una tecnología (probablemente en ese momento la habré llamado "cosa") llamada...

Hace 2 semanas salió la versión 8.0.0.M14 de OWASP WebGoat y está disponible en su repositorio oficial de GitHub. WebGoat es una aplicación intencionalmente insegura mantenida por OWASP, diseñada para enseñar demostrar las vulnerabilidades más comunes en aplicaciones Web dando soporte educacional para buenas prácticas de seguridad En cada lección, los usuarios deben demostrar su entendimiento de una issue de seguridad explotando una vulnerabilidad real en la aplicación de WebGoat. What's new? Para los que conocieron las versiones anteriores, esta última versión está más orientada a ser una plataforma de enseñanza que sólo de hacking. Ahora se explican las vulnerabilidades, se dan tareas para aprender como explotar la vulnerabilidad y se describen posibles escenarios de mitigación. Herramientas requeridas Apache Tomcat Proxies locales y WebSpiders recomendados por OWASP son: WebScarab (o ediciones más nuevas como OWASP Zed Attack ), BurpProxy y ParosProxy . Guía de...

OWASP Security Shepherd es una aplicación de entrenamiento en seguridad informática. Incluye más de 70 niveles que juntos abarcan un amplio espectro de tópicos Web y Mobile y es apto para gente que recién se inicia en seguridad ya que la dificultad de los niveles aumenta a un ritmo razonable. Este tipo de aplicaciones es fundamental para que aprendamos, mediante la práctica, a construir sistemas de Software más seguros sin comprometer a nadie en el camino. Las instrucciones respecto a como descargarlo, instalarlo y configurarlo se pueden encontrar en su repositorio GitHub. En este momento tengo una conexión a Internet con velocidad de descarga de 1KB/s así que, mientras descargo la VM con los ejercicios, les comento dos de los tópicos cubiertos por la aplicación y mejor explicados en el sitio oficial de OWASP Security Shepherd: Inyección SQL La inyección SQL, como cualquier tipo de flaw de inyección, ocurre cuando una aplicación puede enviar datos maliciosos a un determinado in...