EL BLOG DE CALLES

Desarrollo, Investigación, Informática, Programación, Visual Studio, .NET, C#, ASP.NET, Geek, Nuevas Tecnologías, Herramientas, Hacking, Windows, Vista, 7, Micosorft Server, Sql server, Xbox 360, Netbook, Prefetching Web Browsing, Seguridad, Ontologías, Anubis, IIS7, Internet Information Services, Gadgets, Sideshow, Windows Técnico, Javascript, Ajax, Microsoft, Xna, Java, PHP, Dlink, Algoritmos, Videojuegos, Auditoría, Forense, LOPD, FTSAI ... y muchas líneas de código

sábado 9 de julio de 2011

Los 25 errores de programación más peligrosos

Buenas a todos, al igual que ha ocurrido en los últimos años, SANS y MITRE han realizado un estudio que han plasmado en un documento en el que resumen cuales han sido los 25 errores de programación más peligrosos del año.
El pasado año esta lista era encabezada por los habituales XSS, pero este año han sido desbancados por las Inyecciones SQL, desplazando a los XSS al cuarto lugar.

A continuación os dejamos el listado completo de errores:

1 – Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)
2 – Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)
3 – Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)
4 – Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)
5 – Missing Authentication for Critical Function
6 – Missing Authorization
7 – Use of Hard-coded Credentials
8 – Missing Encryption of Sensitive Data
9 – Unrestricted Upload of File with Dangerous Type
10 – Reliance on Untrusted Inputs in a Security Decision
11 – Execution with Unnecessary Privileges
12 – Cross-Site Request Forgery (CSRF)
13 – Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)
14 – Download of Code Without Integrity Check
15 – Incorrect Authorization
16 – Inclusion of Functionality from Untrusted Control Sphere
17 – Incorrect Permission Assignment for Critical Resource
18 – Use of Potentially Dangerous Function
19 – Use of a Broken or Risky Cryptographic Algorithm
20.- Incorrect Calculation of Buffer Size
21 – Improper Restriction of Excessive Authentication Attempts
22 – URL Redirection to Untrusted Site (‘Open Redirect’)
23 – Uncontrolled Format String
24 – Integer Overflow or Wraparound
25 – Use of a One-Way Hash without a Salt

Podéis descargar el documento desde el siguiente enlace: http://cwe.mitre.org/top25/

Saludos!

lunes 4 de julio de 2011

Publicada nueva versión de Anubis, V1.3

Buenas a todos, como recordaréis el pasado martes publicamos la versión 1.2 de Anubis que resolvía algunos problemas que tenía al realizar las búsquedas de dominios y subdominios a través de Google debido a que ésta había realizado algunos cambios en su API hacía algunos meses.

Pues bien, como la vida está poblada de casualidades, y como ya os habréis dado cuenta, el pasado jueves Google decidió cambiar de nuevo su API así que el algoritmo de búsqueda de Anubis dejó de funcionar como debía.

Así que nos pusimos rápidamente manos a la obra para sacar una nueva versión que solucionase este problema, y aquí la tenéis :)

Como habitualmente, podéis descargar Anubis V1.3 desde aquí.

saludos!

martes 28 de junio de 2011

Lanzamiento Oficial de Anubis v1.2

Buenas a todos, tras la buena aceptación que parece que ha tenido y sigue teniendo la cadena de artículos y el libro que publicamos desde Flu Project sobre "La Biblia del Footprinting", por cierto, libro del que ya se han superado las 600 descargas (¡gracias!), se nos había quedado en el tintero publicar una nueva versión de Anubis que resolviese unos problemas de funcionamiento que tenía debido al último cambio de API realizado por Google.

Pero como lo prometido es deuda..., aquí tenéis la nueva versión de Anubis, vamos por la 1.2. Esta versión posee de nuevo todas las herramientas operativas y algunas mejoras gráficas para hacer la herramienta más intuitiva, además de mejoras de estabilidad :-)

Para los que sea la primera vez que habéis oído hablar de Anubis, es una herramienta que publicamos hace algo más de un año desde mi blog y que permite automatizar la recolección y tratamiento de datos (footprinting y fingerprinting) durante los Test de Intrusión. Entre otras funcionalidades permite buscar dominios mediante Google Hacking, Bing Hacking, ataques de fuerza bruta contra el DNS, transferencias de zona, etc. Además, permite identificar el sistema operativo de las máquinas que hay tras los dominios mediante análisis del banner, búsqueda de errores y la integración de la herramienta nmap. Por otro lado contiene otras herramientas útiles como un fuzzer Web, la búsqueda del registrador de un dominio mediante consultas Whois, o la identificación de software utilizado en la organización y personal existente en la misma mediante el análisis de metadatos en los ficheros PDF.

La herramienta la podéis descargar desde AQUÍ.

Ya hay más de 1500 usuarios que han probado la herramienta. A continuación os dejamos algunas capturas de pantalla: