OWASP
BurpSuite XXI - Análisis Web OWASP, Perdida de funciones en el nivel de acceso
·  2 min read
En este punto lo que nos ayuda bastante es el crawler, ya que con el es posible validar y corroborar accesos o directorios que no deberian de estar disponibles para un usuario sin privilegios, o bien simplemente nos dan acceso a información sensible, como es el caso de la anterior debilidad en la cual era posible identificar el fichero LOG, en este punto cedemos el trabajo duro a la herramienta para que posterior a ello realizar la validación de forma manual o desde la misma herramienta con la opción de render.

BurpSuite XX - Wielding BurpSuite quick start your extensions and automation rules
·  1 min read
Como saben BurpSuite se convirtio en mi extensión para las pruebas de pentesting traemos un video de Bsides Detroit en el cual procede a explicarnos Marius Nepomuceno como crear extensiones para BurpSuite una charla que no deben de perder si siguieron hasta ahora la serie de entradas. Espero les agrade buen resto del dia. Regards, Snifer

BurpSuite XIX - Serie de videos Primeros pasos con Burp Suite
·  1 min read
Hola a todos esta oportunidad venimos con una serie de vídeos de Burp Suite los cuales son los que estuvieron siendo regalados por medio del cupón en REDDIT no se si lograron acceder a dicha oferta, unos videos que sirven para conocer la herramienta y comprender como trabaja, espero les agrade y buen inicio de semana. Descargar Videos Regards, Snifer

BurpSuite XVIII - Análisis Web OWASP, Exposición de Información Sensible
·  1 min read
Nuevamente usaremos el discover y el crawler para identificar estas debilidades, conjuntamente con el fuzzer de ser necesario verán que estas ultimas entradas estamos explotando por decirlo así únicamente el uso de la herramienta y se va acoplando con las etapas anteriores de reconocimiento y descubrimiento valga la redundancia, por lo cual esta se apoya bastante a lo mismo, por lo tanto veremos algunas de las debilidades mas comunes relacionadas a este apartado.

BurpSuite XVII - Análisis Web OWASP, Configuraciones de seguridad Incorrecta
·  2 min read
Continuamos la serie de BurpSuite, veremos otro punto del TOP 10 Owasp el cual aborda las configuraciones de seguridad incorrecta, que son dadas por las malas practicas de los desarrolladores y los encargados de administración del server ya que muchas veces se considera lo siguiente: “Lo importante es que funcione como, no importa”. A lo que se criaron bueno a lo que se educarón solo algunos no generalizo. Entonces en este punto realizaremos la busqueda de ficheros olvidados, los cuales llegan a ser explotados con el fin de obtener posibles privilegios todo en base a consultas realizando el ya conocido fuzzing que vimos con anterioridad descubriendo directorios por medio del spider o en su defecto realizando un discover.

BurpSuite XVI - Análisis Web OWASP,Referencia insegura de objetos
·  4 min read
Esta debilidad o falencia viene nuevamente de la mala practica que se tiene o exposición de ficheros, directorios hasta base de datos un ejemplo seria el siguiente si no se cuenta con las medidas necesaria no mostraría este mensaje, de Inicie su Sesion, accediendo de manera directa al panel de administración. En el siguiente ejemplo veremos el acceso irrestricto a información o exposición de ficheros, directorios hasta base de datos un ejemplo seria el siguiente si no se cuenta con las medidas necesaria no mostraria este mensaje, de Inicie su Sesion, accederiamos de manera directa al panel de administración.

BurpSuite XV - Análisis Web OWASP, Cross Site Scripting XSS
·  4 min read
Hoy toca abordar lo que es ataques de Cross Site Scripting los XSS cuidado con confundir con CSS que muchas veces escuche y leí que abrevian como CSS, este tipo de ataque es conocido desde el 2002 y a pesar del tiempo que paso y hasta la fecha se sigue identificando estas debilidades, este ataque tiene teniendo como objetivo el cliente tratando de realizar los ataques a el por medio de código JavaScript engañando al usuario redirigiendo, obteniendo información del mismo variables de sesión el ámbito para un ataque de estos es como limite la imaginación, tanto que tenemos para considerar una muestra el gusano Samy que infecto por medio de MySpace les recomiendo que revisen mas de el y vean como fue su foco de infección, teniendo esta información procederemos a describir estos dos puntos siendo este mas que todo informativo y como hacer uso de BurpSuite ya que para realizar estos ataques y explicar nos tomaría mucho tiempo