domingo, 27 de noviembre de 2016

Fundamentales. Directorios II


Para terminar con el tema de los directorios y después de ver en el post anterior los comandos relativos a ellos, vamos a ver algunos directorios que debemos de conocer en Linux y que contienen. Hay que tener en cuenta que cada distribución de Linux puede tener otros directorios o tener una ubicación distinta. Los que vamos a ver son, hasta donde yo conozco, comunes a muchos sistemas *nix (SCO-UNIX, HP-UX, Linux…etc.).


/home: Es el directorio donde se van a crear los subdirectorios de cada usuario del sistema a excepción del usuario root. Por ejemplo, cuando creemos un usuario llamado pepe se creará, al menos, un subdirectorio con ese nombre en /home.

lunes, 21 de noviembre de 2016

Wordpress, Temas y Botnets

By @elchicodepython (Samuel López)

Cada vez más escucho a más personas decir barbaridades del estilo ¡cómo me voy a infectar con un tema si es solo la parte gráfica! No me preocuparía tanto de no ser porque es en el propio sector del desarrollo web donde lo estoy escuchando actualmente. Esto tiene una explicación y es debido a que como la tendencia en pequeños mercados a abaratar costes muchas veces llega a un punto de desarrollo insostenible.

sábado, 19 de noviembre de 2016

Fundamentales. Directorios


Hoy vamos a ver dos cosas: como movernos en el árbol de directorios y otros comandos útiles para manipularlos

Que es un directorio

Pues de forma básica es eso que conocemos en Windows como carpeta (para mí siempre serán directorios a pesar de Microsoft J). En la Wikipedia podemos encontrar esta definición de directorio:
En informática, un directorio es un contenedor virtual en el que se almacenan una agrupación de archivos informáticos y otros subdirectorios, atendiendo a su contenido, a su propósito o a cualquier criterio que decida el usuario. Técnicamente, el directorio almacena información acerca de los archivos que contiene: como los atributos de los archivos o dónde se encuentran físicamente en el dispositivo de almacenamiento.

lunes, 14 de noviembre de 2016

Presentada el aula movil de HoneySEC en #HoneyCon16 (Proyecto Recycling)



El pasado 12 de noviembre se presento el resultado del proyecto Recycling de HoneySEC. Un proyecto iniciado hacia el mes de febrero con un simple Tweet que pedía la entrega de portátiles que la gente no usase en sus casas o trabajos.

Rápidamente comenzaron a contestar personas anónimas de diferentes puntos del país, incluso de sudamerica solicitando información para donar sus equipos. En pocas semanas llegaron una docena de portátiles y de esta manera arrancamos el proceso de Recycling.

domingo, 13 de noviembre de 2016

Mini-Resumen: HoneyCon2016

El pasado viernes 11 de noviembre se inauguró el 2º Congreso de seguridad Ciudad de Guadalajara, Jornadas que prácticamente clausuran el año 2016 para la asociación HoneySec, un año en el que el denominador común fue la continua actividad de la misma, con 60 eventos dentro y fuera de nuestra ciudad.

Las jornadas se inauguraron por Raúl Renales como representante de HoneySec, Jesús de Andres como Director del centro asociado de la UNED en Guadalajara, Lucas Castillo como Diputado de la Excelentísima Diputación de Guadalajara y Jaime Carnicero como vice-alcalde de Guadalajara, en el acto se dio la bienvenida a ponentes y asistentes y se repasó la implicación de estas entidades en las jornadas.

domingo, 6 de noviembre de 2016

Fundamentals: HTTP – REFERER



Autor: @txambe

En el articulo de hoy vamos a revisar el tema de las cabeceras de HTTP REFERER , para aquello que desconozcáis de que son , os pongo el resumen que hay en la wikipedia.

Fuente:  WiKipedia

HTTP referer (inicialmente un error ortográfico del término referrer) es una cabecera HTTP que identifica la dirección de la página web (es decir, la URI o IRI) que creó el vínculo con el recurso que está siendo solicitado. A través del chequeo del campo referer, la nueva página web puede determinar dónde se originó la solicitud.

En la mayoría de los casos esto significa que cuando un usuario hace clic a un hipervínculo en un navegador web, el navegador envía una solicitud al servidor que hospeda la página web destino y dicha solicitud incluye el campo referer, que indica la última página que el usuario visitó (aquella donde el usuario hizo clic al vínculo).

El registro del campo referer es utilizado con propósitos estadísticos y promocionales por los sitios web y servidores web, pues les permite identificar desde qué localización están siendo visitados.1
También es muy recomendable revisarse la RFC 2616, sección 14.36  que explica en detalle el HTTP Referer y en la sesión 15.1.3 se ven las  consideraciones de seguridad que deben cumplir los agentes de usuario como por ejemplo no incluir el Referer cuando se pase de HTTPS a HTTP por los problemas de exposición de información sensible.

En la siguiente imagen podemos ver un encabezado HTTP y como el navegador web esta informando al servidor , a través de referer ,  que esta solicitando el recurso htaccess.html  
se está realizando desde la portada de  /http-headers-tool


No hay que confundirse con el  metadato HTML Referrer  que se ocupa de especificar que valores va a contener el campo de encabezado  de petición Referer, según la política de Referrer de la W3C  que se aplique. El Referer, al igual que el Etag  han suscitado bastantes sospechas respecto a su uso, utilizados por afectar la privacidad de los usuarios. Mediante el Referer puede registrarse los hábitos de navegación de las personas a través de la recolección de los saltos realizados entre páginas, estableciéndose patrones de comportamiento en Internet.

  Al realizar una prueba de pentesting es importante revisar cual es el Referer entre peticiones ,  para lo cual podemos aplicar la prueba de seguridad  OTG-AUTHN-001  para entender si las credenciales son enviadas a través de un canal seguro.