Uno de los principales problemas a la hora de lidiar con la programación de aplicaciones en entornos web - cualquiera que sea el lenguaje utilizado - es establecer una serie de medidas que garanticen la imposibilidad de alterar los datos generados en el servidor y que son susceptibles de ser modificados desde la parte cliente. Pensemos en los parámetros necesarios para el funcionamiento de la aplicación que esta recibe desde el navegador: valores pertenecientes a los formularios, campos ocultos, links, etc. Todos ellos son elementos que requieren una validación y filtrado antes de ser procesados....
Análisis y modelado de amenazas
El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema informático.
En este artículo se abordan las metodologías y herramientas disponibles. Se ha tratado además, de proporcionar información que facilite la puesta en marcha del proceso de modelado, así como cuestiones importantes a tener en cuenta durante la realización del análisis y modelado. El documento, está acompañado por un video en el que se muestra la herramienta gratuita creada por Microsoft.
El artículo completo puede descargarse en: http://metal.hacktimes.com/node/4
Verificación de métodos HTTP
Durante la realización de pruebas de auditoría generalmente es necesario identificar los métodos que se encuentran activos en los servidores Web, existen para ello distintas formas que permitirán remotamente verificar que métodos están activos....
Herramientas online
Cuando se busca información sobre una dirección IP, un dominio o se está haciendo cualquier análisis previo a una revisión de seguridad son muy útiles ciertas herramientas online que, sin realizar ningún intento de intrusión, sirven para recopilar todo tipo de información y datos. A continuación presentamos una recopilación de aquellas que consideramos más destacables y como se usan:...
ParosProxy un proxy HTTP/HTTPS y mucho más
Paros es una aplicación que funciona como un Proxy y que permite capturar las peticiones tanto HTTP como HTTPS para simplemente registrarlas a modo de debug o para poder modificarlas. Además de estas funcionalidades de Proxy, incorpora una serie de opciones para realizar comprobaciones de seguridad que pueden resultar muy útiles....
