SecToolAdict ha publicado una lista de 60 scanners web comerciales y Open Source así como una comparativa entre ellos. El informe está basado en el proyecto WAVSEP (Web Application Vulnerability Scanner Evaluation Project), una aplicación web vulnerable ex profeso y pensada para realizar evaluación de comportamiento de este tipo de scanners

Fotos:

Leer mas:
Comparativa de Web Scanners

Como muchos ya sabréis, el grupo de seguridad Eindbazen descubrió en el CTF de la última Nullcon y publicó recientemente una vulnerabilidad de ejecución remota de código en PHP-CGI (CVE-2012-1823, CVE-2012-2311, …). En resumen un atacante remoto puede ser capaz de pasar argumentos de línea de comandos en una query string (‘?-s’), que se transferirá directamente al programa PHP-CGI. Pues bien, SpiderLabs confirma que este ataque ya se está explotando activamente y, prueba de ello, son…

Fotos:

Leer mas:
Filtro ModSecurity para la vulnerabilidad de PHP-CGI

Eindbazen, un equipo de competiciones CTF, ha descubierto una vulnerabilidad en PHP-CGI que permite pasar parámetros al intérprete de PHP, como -s o -r, a través de la URL.

Fotos:

Continua aqui:
Grave vulnerabilidad en PHP-CGI (Parchea!)

Hoy vamos a ver como obtener una sesión de Meteperter explotando una vulnerabilidad SQL Injectión, para recrear este ejemplo vamos a utilizar DVWA. 1.

Fotos:

Continua aqui:
Obtener una sesión meterpreter explotando SQL Injection

Benjamin Kunz Mejri ha descubierto una manera de modificar la contraseña de cualquier cuenta de Hotmail y, por tanto, robarla de su usuario legítimo. Ha trabajado con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero parece que algún atacante se le adelantó y, con otras intenciones, usó el fallo en su propio beneficio. Repasamos algunos de los grandes fallos de seguridad de Hotmail

Fotos:

Continua aqui:
Grave fallo de seguridad en Hotmail permitía el robo de cuentas

La Facultad de Ingeniería junto con OWASP Argentina invitan a participar de la Jornada de Seguridad en aplicaciones WEB OWASP Latam Tour Buenos Aires, que se realizará el próximo Lunes 14 de Mayo en el Aula Magna, Facultad de Ingeniería de la Universidad de la Marina Mercante ubicado en Av. Rivadavia 2258

Fotos:

Continua aqui:
Evento gratuito OWASP Argentina

Ya lo había anunciado tiempo atrás, pero debido a varios fallos descubiertos la actualización no será puesta a disposición pública hasta el día 24 de Abril, es decir, el viernes que viene en la versión de Mozilla Firefox 12 y donde se aplicará la nueva política de seguridad que llevará al bloqueo de versiones inseguras de Java. Esto es especialmente significativo en los equipos Mac OS X Leopard o Mac OS X Tiger, que aún tienen una buena cuota de aceptación entre usuarios de Mac OS X, y no… Contenido completo del post en http://blog.segu-info.com.ar o haciendo clic en el título de la noticia

Fotos:

Ver original:
Firefox deshabilitará Java en Mac OS X no actualizados

En el sitio de Hispasec se ha publicado una vulnerabilidad que afecta a WordPress y que podría permitir que un atacante remoto llevara a cabo una denegación de servicio. Esta vulnerabilidad ha sido publicada por un usuario que se hace llamar “MustLive”

Fotos:

Leer mas:
¿Denegación de Servicio en WordPress?

La ley anticookies llega a España. Es una adaptación de la directiva europea sobre el uso de datos obtenidos en Internet a través de estos programas que se infiltran en la navegación del internauta

Fotos:

Ver original:
Ley ‘anticookies’ en España

Soy usuario de Gmail y además, de Blogger (como tantos), pues bien, un día como otro cualquiera, accedo a gmail y me autentico, hasta ahí todo perfecto. Posteriormente entro en mis blogs (funsecurity.net, tecnomind.org) y claro, soy usuario de google y blogger es de google, pero las cookies son para el dominio google.com, por lo tanto, procedo a entrar mediante en enlace que se encuentra en la esquina superior derecha “Acceder”

Fotos:

Leer mas:
Blogger sin SSL