martes, 4 de febrero de 2020

Cómo configurar las cabeceras de seguridad en servicios web y no morir en el intento.


Autor: @db3rn4l

Este es mi primer artículo en solitario en HoneySec, espero que os guste y sobretodo que os sirva.
Últimamente, mi compañero Raúl Renales y yo, nos hemos encontrado con vulnerabilidades asociadas a la
ausencia de configuración de las cabeceras de seguridad en los servicios web, concretamente Apache2, httpd e IIS.

El motivo principal de realizar este artículo es que hay una gran cantidad de portales web que se encuentran en
esta situación. 

JASYP19 - Challenges - Reversing 1


Autor: @1r0Dm448O

Compartimos en este post la resolución de un reto de JASYP19 realizada por nuestro compañero IVAN, en el que se busca obtener una contraseña (flag) realizando un reversing de un archivo dado.

SRI: SubResource Integrity


By @raulrenales


Hace unos días unos amigos que tienen varias plataformas de blogging me consultaron por un problema que estaban comenzando a tener con los recursos de terceros que utilizaban en sus webs. Básicamente el problema era que en un determinado recurso, el fabricante había tenido una brecha de seguridad y el recurso había quedado comprometido, de tal manera que todas las plataformas web que utilizaban el recurso incorporan unas funciones que permiten la subida de archivos y obtención de información.

viernes, 31 de enero de 2020

ASTRA: REST API penetration testing



by @raulrenales

Como ya sabéis, llevamos un tiempo profundizando en el análisis de APIs desde el punto de vista del pentesting y la auditoria. Iniciamos el camino con un post en el que resumíamos herramientas interesantes para esta tarea, poco a poco vamos haciendo review de las mismas. Hoy le toca el turno a ASTRA REST API Tool.

martes, 28 de enero de 2020

Vooki – Rest API Scanner



By @raulrenales & @db3rn4l

Pues seguimos trabajando con herramientas de análisis de APIs, como ya sabéis el objetivo es crear un pequeño arsenal y que vayamos probando una a una para ver que tal funcionan. Hoy presentamos Vooki, un scanner con dos sabores, aplicaciones web y APIs.

El escáner de aplicaciones REST de Vooki es una herramienta automatizada para escanear y detectar vulnerabilidades en la API REST. Nuestra herramienta ayuda a descubrir las vulnerabilidades con facilidad, es muy fácil y efectivo e incluye funciones para importar los datos de Postman.

OWASP API Security Top 10



By @raulrenales&@db3rn4l

Desde hace tiempo mi compañero David Bernal y yo estamos recopilando información sobre análisis y auditoria de APIs, iniciamos el camino haciendo un post en este blog con un pequeño listado que iremos editando para ampliarlo y mejorarlo. En este artículo vamos a repasar el Top 10 de vulnerabilidades en APIs. La información esta extraída de OWASP que publico su primera lista el pasado 31 de diciembre de 2019.