Tutorial
Owasp Zaproxy IX - Mezcladito de cosas que nos quedaron en el tintero.
·  4 min read
Queridos lectores, √©sta ser√° la ante√ļltima c√°psula, como bien mencion√≥ Snifer. Por lo tanto veremos algunos recursos peque√Īos pero sumamente √ļtiles de Zap que nos han quedado pendientes pero que no son los lo suficientemente extensos como para dedicarles toda una c√°psula. Ctrl+i: Mediante la combinaci√≥n de √©stas teclas, Zap abre una ventana desde la cual podemos elegir una lista de urls para poder realizar un an√°lisis. Tambi√©n podemos encontrar la opci√≥n si vamos a la pesta√Īa ‚ÄėTools‚Äô y seleccionamos ‚ÄėImport a file containing URLs‚Äô

BurpSuite XXIII - An√°lisis Web OWASP, Componentes con vulnerabilidades difundidas
·  2 min read
Este punto que esta considerado el n√ļmero 9 del Top 10 de OWASP debido a que al realizar la identificaci√≥n de vulnerabilidades en los componentes es posible lograr desde un escalamiento de privilegios hasta una denegaci√≥n de servicio¬†seg√ļn¬†la necesidad este¬†reconocimiento viene a darse comenzando por el CMS, identificaci√≥n de¬†tecnolog√≠a¬†de desarrollo y los componentes del servidor. Por lo tanto con BurpSuite es posible identificar dicha¬†tecnolog√≠a¬†y valores¬†mencionados con¬†anterioridad para identificarlo nos dirigimos a las cabeceras, de la respuesta que nos brindan como se ve a continuaci√≥n.

BurpSuite XXII - An√°lisis Web OWASP, Cross-Site Request Forgery (CSRF)
·  3 min read
Un CSRF o XSRF no se encuentra en la categoria de un XSS aunque muchas veces es conocido con el segundo acrónimo XSRF, pero se encuentra estandarizado en CSRF por OWASP y MITRE para comentarles de groso modo y para que se comprenda, es una debilidad que tiene como objetivo el cliente, forzando a que ejecute una tarea sin su consentimiento esta debilidad puede ser desde un simple cierre de sesión hasta el envio de dinero en el caso de darse en alguna aplicación que cumpla con este objetivo.

BurpSuite XXI - An√°lisis Web OWASP, Perdida de funciones en el nivel de acceso
·  2 min read
En este punto lo que nos ayuda bastante es el crawler, ya que con el es posible validar y corroborar accesos o directorios que no deberian de estar disponibles para un usuario sin privilegios, o bien simplemente nos dan acceso a información sensible, como es el caso de la anterior debilidad en la cual era posible identificar el fichero LOG, en este punto cedemos el trabajo duro a la herramienta para que posterior a ello realizar la validación de forma manual o desde la misma herramienta con la opción de render.

Owasp Zaproxy VIII - Actualización y Plugins en Zap
·  2 min read
Aprovechando que hace unos d√≠as se liber√≥ la versi√≥n 2.4.2 de Zap, en √©sta entrada veremos la manera de actualizar, adem√°s de la instalaci√≥n y uso de los plugins. Para actualizar nuestra tool, tenemos que ir a la pesta√Īa ‚ÄėHelp‚Äô y seleccionar ‚ÄėCheck for Updates‚Äô Se abrir√° el ‚ÄėManage Add-ons‚Äô y si no tenemos la √ļltima versi√≥n, nos aparecer√° un mensaje indic√°ndonos que existe una versi√≥n m√°s reciente.

BurpSuite XX - Wielding BurpSuite quick start your extensions and automation rules
·  1 min read
Como saben BurpSuite se convirtio en mi extensión para las pruebas de pentesting traemos un video de Bsides Detroit en el cual procede a explicarnos Marius Nepomuceno como crear extensiones para BurpSuite una charla que no deben de perder si siguieron hasta ahora la serie de entradas. Espero les agrade buen resto del dia. Regards, Snifer

BurpSuite XIX - Serie de videos Primeros pasos con Burp Suite
·  1 min read
Hola a todos esta oportunidad venimos con una serie de vídeos de Burp Suite los cuales son los que estuvieron siendo regalados por medio del cupón en REDDIT no se si lograron acceder a dicha oferta, unos videos que sirven para conocer la herramienta y comprender como trabaja, espero les agrade y buen inicio de semana. Descargar Videos Regards, Snifer