Desde hace poco más de tres años, la gente de "Security Tools Benchmarking" (http://sectooladdict.blogspot.co.il/) publica por estas fechas su comparativa sobre los más importantes analizadores de seguridad (scanners) de aplicaciones Web. Se revisa y comprueba el comportamiento de las 60 herramientas más conocidas ante diferentes pruebas como son la precisión en la detección de vulnerabilidades del tipo Inyección SQL, vulnerabilidades de Cross Site Scripting (XSS), los métodos para validar formularios de autenticación, la facilidad de uso y la potencia de las distintas aplicaciones, su precio. etc. 10 baterías de pruebas diferentes con las que analizar el funcionamiento de todas las herramientas y ver el resultado de las mismas para elaborar un top ten que incluye, tanto herramientas comerciales y de pago, como con licencia GNU....
Auditoria de seguridad en Liferay Portal
En múltiples ocasiones ya hemos hablado en Hacktimes.com de CMSs (Content Management Systems) y la verdad es que hasta ahora no habíamos tenido la oportunidad de trabajar con Liferay, un conocido CMS de código abierto, creado en el año 2000 y basado en Java que nada tiene que ver con Drupal, Wordpress, Joomla o cualquier otro gestor de contenidos. Liferay Portal, con más de 4 millones de descargas y alrededor de 500.000 instalaciones en todo el mundo, es uno de los principales CMSs que existen actualmente...
Analizando redes Wifi con Android (2ª parte)
Hace un año publicábamos en Hacktimes un artículo (http://hacktimes.com/Analizando_redes_Wifi_con_Android) sobre cómo se podía usar un teléfono móvil con Sistema Operativo Android para analizar una red Wifi con el sistema de cifrado básico (WEP) y la configuración de seguridad que viene por defecto proporcionada por el proveedor de Internet (ISP) correspondiente.
Hoy en día, todavía es demasiado habitual encontrar redes incorrectamente configuradas en lo que a seguridad se refiere y que permiten su libre acceso prácticamente a cualquiera que pase por la calle y que tenga un smartphone. Se ha popularizado y simplificado tanto el uso de teléfonos móviles y herramientas que usan predicción de claves y de algoritmos que, únicamente con conocer el ESSID de la red Wifi en cuestión y la MAC Address del punto de acceso (AP) es posible acceder de forma sencilla a las mismas...
Nmap versión 6.0
Desde julio de 2009 que Fyodor y la gente de Insecure (http://www.insecure.org) no publicaban una versión estable de Nmap con tantos cambios. Desde ayer ya está disponible Nmap Security Scanner 6.0 que después de casi tres años de desarrollo incluye importantes novedades como, por ejemplo, nuevos scripts NSE para las últimas vulnerabilidades conocidas alcanzando un total de 348, mayor velocidad en los análisis de red, una nueva funcionalidad para generar tráfico para una amplia gama de protocolos, y varios cambios más...
Nueva versión 3.0 de Microsoft EMET
Microsoft acaba de publicar la versión 3.0 de su herramienta Enhanced Mitigation Experience Toolkit, en adelante EMET, que está diseñado para bloquear posibles ataques que se puedan producir en un equipo que no esté correctamente actualizado o parcheado. Además Microsoft EMET protege contra malware, accesos no autorizados, vulnerabilidades, exploits, 0days, etc. dificultando la actividad de cualquier usuario malintencionado....
