Quizás suena trillado el título como también el contenido pero es necesario dar el granito de arena y comprendan lo que realizamos ahora les seguirá para después, debido a que muchas veces cometemos el error de compartir información privada, personal, siendo algunas fotos, comentarios, ya sean lanzados por una razón meramente personal y el error es hacerlo abiertamente en redes sociales como ser Facebook, Twitter, Instagram solo por nombrar a los 3 mas grandes en este lado compartimos que hacemos a donde vamos y cuando estamos solos, personalmente hace como unos tiempo otras lance un comentario en Twitter el cual fue tomado de manera equivocada, totalmente equivocada, y eso porque fue.

Nuevamente usaremos el discover y el crawler para identificar estas debilidades, conjuntamente con el fuzzer de ser necesario verán que estas ultimas entradas estamos explotando por decirlo así únicamente el uso de la herramienta y se va acoplando con las etapas anteriores de reconocimiento y descubrimiento valga la redundancia, por lo cual esta se apoya bastante a lo mismo, por lo tanto veremos algunas de las debilidades mas comunes relacionadas a este apartado.

El Forced Browse es un tipo de ataque para forzar la navegación dentro de un dominio con el fin de identificar recursos que no son accesibles desde una referencia (eso lo hace un crawling) pero aun están en algun directorio dentro del web server. Ya que tenemos claro el concepto, analicemos su puesta en marcha, veremos que bruteforcing sobre la navegación viene de la mano con la entrada anterior y el mecanismo es bastante similar.

Este video es un Workshop de 3 horas apenas logre ver los primeros 30 minutos una charla bastante interesante la cual no tiene perdida alguna verla a fondo, y se los digo porque ya la ando bajando para verla con calma y escucharla a detalle. Android Exploitation from Positive Technologies on Vimeo. Una entrada bastante corta pero vale la pena ;). Regards, Snifer

Continuamos la serie de BurpSuite, veremos otro punto del TOP 10 Owasp el cual aborda las configuraciones de seguridad incorrecta, que son dadas por las malas practicas de los desarrolladores y los encargados de administración del server ya que muchas veces se considera lo siguiente: “Lo importante es que funcione como, no importa”. A lo que se criaron bueno a lo que se educarón solo algunos no generalizo. Entonces en este punto realizaremos la busqueda de ficheros olvidados, los cuales llegan a ser explotados con el fin de obtener posibles privilegios todo en base a consultas realizando el ya conocido fuzzing que vimos con anterioridad descubriendo directorios por medio del spider o en su defecto realizando un discover.

Después de mucho tiempo volvemos con la loca semana en el blog, pero ahora retornamos luego de obtener la certificación tan esperada OSWP me siento orgulloso como también con garras de ir a la secundaria el porque de ello lo siguiente: **WiFU **es el kinder_ PWK es la secundaria._ CTP es la universidad._ Lunes 24 de Agosto - Compartí con todos que el blog retomaba el ritmo ademas de darles a conocer que logre realizar el examen en su totalidad.

Zap, como ya hemos visto en las entradas anteriores, posee una gran cantidad de funcionalidades. En ésta entrada, veremos la forma de realizar un fuzzing sobre una aplicación web para identificar inyecciones de tipo sql. El fuzzing, es una técnica mediante la cual se puede comprobar la forma en la que responde, en éste caso una web application, ante el ingreso de datos aleatorios o secuenciales para para identificar directorios o archivos, detectar vulnerabilidades de inyección de código e incluso para realizar validaciones por fuerza bruta.