Un CSRF o XSRF no se encuentra en la categoria de un XSS aunque muchas veces es conocido con el segundo acrónimo XSRF, pero se encuentra estandarizado en CSRF por OWASP y MITRE para comentarles de groso modo y para que se comprenda, es una debilidad que tiene como objetivo el cliente, forzando a que ejecute una tarea sin su consentimiento esta debilidad puede ser desde un simple cierre de sesión hasta el envio de dinero en el caso de darse en alguna aplicación que cumpla con este objetivo.

En este punto lo que nos ayuda bastante es el crawler, ya que con el es posible validar y corroborar accesos o directorios que no deberian de estar disponibles para un usuario sin privilegios, o bien simplemente nos dan acceso a información sensible, como es el caso de la anterior debilidad en la cual era posible identificar el fichero LOG, en este punto cedemos el trabajo duro a la herramienta para que posterior a ello realizar la validación de forma manual o desde la misma herramienta con la opción de render.

Hoy estaba poniendo algo de orden en el disco duro y tropecé con esta ISO Live que conjuga, en una sola imagen, varios wargames de los más populares con los que se pueden hacer miles y miles de prácticas y pruebas. 400MB de lo más útiles para nuestro Hacklab. Lo podemos descargar de su página oficial en SourceForge Al arrancarlo y acceder a su servidor web (Busca configuración DHCP, por lo que no necesitamos credenciales para añadirlo a nuestra red) nos encontramos con dos categorías: “Teach yourself” y “Practice”.

Aprovechando que hace unos días se liberó la versión 2.4.2 de Zap, en ésta entrada veremos la manera de actualizar, además de la instalación y uso de los plugins. Para actualizar nuestra tool, tenemos que ir a la pestaña ‘Help’ y seleccionar ‘Check for Updates’ Se abrirá el ‘Manage Add-ons’ y si no tenemos la última versión, nos aparecerá un mensaje indicándonos que existe una versión más reciente.

Como saben BurpSuite se convirtio en mi extensión para las pruebas de pentesting traemos un video de Bsides Detroit en el cual procede a explicarnos Marius Nepomuceno como crear extensiones para BurpSuite una charla que no deben de perder si siguieron hasta ahora la serie de entradas. Espero les agrade buen resto del dia. Regards, Snifer

Hola a todos esta oportunidad venimos con una serie de vídeos de Burp Suite los cuales son los que estuvieron siendo regalados por medio del cupón en REDDIT no se si lograron acceder a dicha oferta, unos videos que sirven para conocer la herramienta y comprender como trabaja, espero les agrade y buen inicio de semana. Descargar Videos Regards, Snifer

Antes de comenzar a ver la forma de realizar scripts en Zap, veremos de qué se trata Zest, ya que si no entendemos bien la base, es complicado construir hacia arriba. Zest, es un lenguaje de programación especializado en el scripting creado por el equipo de desarrolladores de seguridad de Mozilla orientada a tools de seguridad. Si querés investigar un poco más, acá está el sitio oficial: (Mozilla Projects Zest).