Seguridad en aplicaciones web, Intypedia

Posted by Destroyer on mayo 05, 2011
Seguridad Informática / Comentarios desactivados en Seguridad en aplicaciones web, Intypedia

Se encuentra disponible en Intypedia, la enciclopedia de la Seguridad de la Información, un nuevo capítulo o lección en vídeo titulado: Seguridad en aplicaciones web.

En el vídeo, que dura alrededor de 16 minutos y se compone de cuatro escenas, «Alicia y Bernardo nos introducen la arquitectura básica de una aplicación web y las incidencias de seguridad típicas en este entorno, centrándose en ataques por inyección de código SQL».

ESCENA 1.
Arquitectura básica de una aplicación web. Incidentes de seguridad.

ESCENA 2.
Inyección de código en aplicaciones web.

ESCENA 3.
Técnicas de inyección a ciegas.

ESCENA 4.
Evitando las técnicas de inyección. Mitigación.

♦ Ver el vídeo.

♦ Descargar el guión en formato PDF.

Tags: , , , ,

OpenBSD 4.9

Posted by vlad on mayo 04, 2011
Sistemas Operativos / Comentarios desactivados en OpenBSD 4.9

Nueva versión de este sistema operativo de tipo UNIX con licencia libre y que surgió de NetBSD debido a diversas diferencias filosóficas con respecto a este. OpenBSD está especialmente pensado para trabajar en entornos donde la seguridad y la estabilidad sean primordiales, siendo especialmente utilizado para servidores. Además se da la circunstancia de que es posible utilizar bajo él archivos binarios procedentes de otros sistemas operativos, entre ellos GNU/Linux.

En este enlace que os de jamos tnéis la nota oficial de lanzamiento con todas aquellas novedades y cambios de esta nueva entrega.

Tags: , ,

Herramientas para la interpretación de capturas de red. (8/10)

Posted by Alfon on mayo 04, 2011
Seguridad Informática / Comentarios desactivados en Herramientas para la interpretación de capturas de red. (8/10)

En anteriores entregas:

Presentación | Parte 1 | Parte 2 | Parte 3 | Parte4 | Parte 5 | Parte 6 | Parte 7

Wireshark III Parte.


En la segunda parte del artículo dedicado a Wireshark, aprendimos: Como salvar los datos de captura. Opciones de captura y salvado múltiple. Navegación por las capturas múltiples. Ring buffer. Truncado de paquetes. Extracción de binarios y uso de Follow TCP Stream. Extracción objetos HTTP.
Estadísticas Wireshark. Estadísticas Service Response Time.
Estadísticas Flow Graph. Otras estadísticas. Estadísticas gráficas. IO Graph y Gráficas tcptrace.

En esta ocasión vamos a ver:

  • Geolocalización con Wireshark. GeoIP y filtros.
  • El lenguaje Lua.
  • Mensajes se error u otros en wireshark; TCP segment of a reassembled PDU y otros.
  • Uso remoto de Wireshark.

Vamos a ello…

Continue reading…

Tags: , , ,

Actualizaciones de Mozilla Firefox y Thunderbird solucionan vulnerabilidades críticas

Posted by Destroyer on abril 29, 2011
Seguridad Informática / Comentarios desactivados en Actualizaciones de Mozilla Firefox y Thunderbird solucionan vulnerabilidades críticas

Se encuentran disponibles para su descarga e instalación la versión 4.0.1 y la versión 3.6.17 de Mozilla Firefox, que solventan varios problemas críticos de seguridad de versiones anteriores de este navegador web.

Como siempre, la nueva versión de Firefox, tanto para la rama 4 como para la 3.6 se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje.

Notas de la versión 4.0.1. |  Notas de la versión 3.6.17. |

Descarga de Firefox 4.0.1

Descarga de Firefox 3.6.17.

También puedes actualizar Firefox desde el propio navegador web a través del menú Ayuda.

Si al actualizar a la versión de Firefox 4 tienes problemas con alguna de las extensiones que utilizabas en la rama 3.6, puedes seguir las indicaciones de esta entrada para tratar de solucionarlas. Plugins en Firefox 4.

THUNDERBIRD:

Por otro lado, el equipo de desarrollo del cliente de correo de Mozilla acaba de anunciar la nueva versión 3.1.10 de Thunderbird, que solventa varias vulnerabilidades alguna de ellas clasificada como de alto riesgo para el sistema.

Esta versión está disponible para sistemas Windows, GNU/Linux y Mac OS X y puede descargarse a través del menú “Ayuda” del cliente de correo “Buscar actualizaciones”.

Os recordamos que podéis consultar nuestro Manual de empleo de Mozilla Thunderbird.

| Notas de la versión 3.1.10 |

Descargar Thunderbird 3.1.10

Se recomienda actualizar a la mayor brevedad posible por lo que ello representa. Mantener el sistema operativo y el sofware actualizados.

Tags: , , , , , , , ,

[Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)

Posted by Destroyer on abril 29, 2011
[Breves] / Comentarios desactivados en [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)

Una vez más, Maty de Nauscopio, actualiza su conocida lista de filtros anti-publicidad del complemento AdBlock Plus tanto para Chrome como para Firefox.

Se incluyen 36 filtros nuevos y se han corregido excesos de filtrado en Tuenti, Libertad Digital y Clarín (vídeos).

Descarga de la lista de filtros

Tags: , , , , , , , , ,

Fallo de seguridad en Webmin

Posted by vlad on abril 28, 2011
Programas, Seguridad Informática / Comentarios desactivados en Fallo de seguridad en Webmin

Se ha detectado un fallo de seguridad que permitiría una escalada de privilegios en el popular sistema de administración a través del navegador Webmin, concretamente se trata de un cross site scripting que hace que el archivo useradmin/index.cgi no filtre adecuadamente los datos introducidos, lo cual propiciaría que el atacante falsificase su datos mediante javascript y «engañase» al sistema haciendose pasar por otro usuario de Webmin con mas privilegios que él.
Practicamente de forma inmediata se dió solución a este grave fallo con un parche que elimina esta vulnerabilidad. Lo tenéis disponible en este enlace, pero ojo, según parece desde la página oficial de descarga todavía se ofrece la versión con el error, asi que tened la precaución de haceros con el mencionado parche si la descargáis.

Tags: , , ,

[Breves] WordPress 3.1.2, actualización de seguridad

Posted by Dabo on abril 27, 2011
[Breves] / Comentarios desactivados en [Breves] WordPress 3.1.2, actualización de seguridad

El equipo de WordPress acaba de liberar una actualización de seguridad (versión 3.1.2) que viene a resolver una vulnerabilidad que podría permitir a usuarios con permisos limitados la publicación de  mensajes sin autorización.

Es por ello que caso de tener habilitado el registro de usuarios, la actualización sea de suma importancia. Además, se solventan algunos fallos localizados a partir de la versión 3.1.1. Más info.

Tags: , , , ,

Seguridad básica en daboweb. Mantener el sistema operativo y el software actualizados

Posted by Destroyer on abril 24, 2011
Seguridad Básica / Comentarios desactivados en Seguridad básica en daboweb. Mantener el sistema operativo y el software actualizados

Una nueva entrada en nuestra sección de Seguridad Básica para los que empiezan, en esta ocasión incidimos en la importancia que representa mantener actualizados tanto el sistema operativo, como todos el software o programas que utilizamos en nuestro equipo.

A continuación reflejamos la entrada que hemos publicado en nuestro blog Basicoyfacil sobre este tema.

Las actualizaciones en la mayoría de ocasiones solucionan vulnerabilidades, problemas de seguridad o de funcionamiento del sistema, por lo que siempre debemos instalar las actualizaciones en cuanto se publiquen para tener el sistema totalmente actualizado, ya que de lo contrario, algún malware podría aprovecharse de estas debilidades e infectar nuestros equipos.

Normalmente todos los segundos Martes de cada mes se publican nuevas actualizaciones desde Microsoft para el sistema operativo Windows y otros productos de la empresa (Office, etc).

Pero no solo Microsoft actualiza, el resto de fabricantes visores o programas para manipular PDF, los drivers para los dispositivos del equipo, compresores Peazip, o 7Zip, programas portables, Messenger, Skype, los Navegadores web, Firewall, Antivirus,  Antiespías, Programas Multimedia, Programas de Grabación, Flash Player, etc. también lo hacen sobre sus programas con la misma finalidad, ya sea corregir errores, parchear vulnerabilidades o añadir nuevas funcionalidades a los mismos.

En el caso de los equipos con sistema Windows podremos comprobar las actualizaciones que tenemos instaladas, siguiendo las indicaciones de los siguientes manuales que tenemos publicados en Windowsfacil:

En estos manuales veréis otro manual que os muestra como configurar las actualizaciones automáticas para cada uno de los Windows expuestos.

Tenéis más detalles sobre las actualizaciones de Windows en esta entrada sobre mantener actualizado Windows y en los siguientes manuales:

Los programas también suelen contar con la posibilidad de comprobar si existen nuevas actualizaciones dentro de sus opciones de configuración, o bien,  podemos mantenernos informados sobre cambios o vulnerabilidades de los mismos a través de su web oficial o desde otras webs que puedan informar al efecto.

A continuación os enlazo a algunos manuales que hemos publicado para actualizar diferentes programas:

Además, podremos emplear aplicaciones específicas como Driver Easy y Device Doctor que nos permitían analizar y descargar los drivers desactualizados de nuestro equipo, o los programas Sumo y Update Notifier, que comprobaban las versiones de los programas instalados en el equipo.

Por tanto y como resumen, decir que es muy importante mantener actualizado el sistema operativo y todos los programas de nuestros equipos para minimizar el riesgo y la exposición a vulnerabilidades.

En Basicoyfacil.

Hasta la próxima entrega.

Tags: , , , , , , ,

LibreOffice seguirá su camino (OpenOffice en peligro)

Posted by vlad on abril 23, 2011
Programas / Comentarios desactivados en LibreOffice seguirá su camino (OpenOffice en peligro)

Pues para sorpresa de muchos el proyecto LibreOffice no continurá con OpenOffice despues de que Oracle hiciese público que el desarrollo de la popular y utilizada suite ofimática open source iba a quedar en manos de la comunidad. Se abrió entonces una puerta a la esperanza para que ambos proyectos se fusionases en uno, pero tras unas declaraciones de Charles-H. Schulz, miembro del comité ejecutivo de The Document Foundation, esta posibilidad queda totalmente descartada.

Los responsables de LibreOffice estan dispuestos a acoger a aquellos programadores de OpenOffice que quieran sumarse al proyecto, lo que indica de una forma inequívoca que en ningún momento han dudado de retomar el trabajo y «doblegarse» a la voluntad de Oracle, sino que desean ampliar las posibilidades y futuro de su nuevo cometido. Parece que Oracle han sembrado la semilla de la desconfianza en el mundillo del open source y que nadie ya se fia de las intenciones de este gigante informático.

 

Tags: , , ,

Actualizaciones de Adobe Acrobat y Reader solucionan graves vulnerabilidades

Posted by Destroyer on abril 22, 2011
Seguridad Informática / Comentarios desactivados en Actualizaciones de Adobe Acrobat y Reader solucionan graves vulnerabilidades

Se encuentran disponibles para su descarga e instalación varias actualizaciones para productos de Adobe, que solucionan graves vulnerabilidades de sus productos, Adobe Reader y Adobe Acrobat, en versiones para Windows y Macintosh.

En Adobe Reader y Adobe Acrobat están afectadas las siguientes versiones:
Adobe Reader X (10.0.2) y anteriores para Windows y Macintosh, Adobe Reader 9.4.3 y anteriores para Windows y Macintosh, Adobe Acrobat X (10.0.2) y anteriores para Windows y Macintosh.

Se recomienda actualizar a la mayor brevedad posible a las nuevas versiones: Adobe Reader X (10.0.3), Adobe Reader 9.4.4 y Adobe Acrobat X (10.0.3).

Como ya hemos mencionado en anteriores ocasiones, cuentas con aplicaciones alternativas para trabajar con archivos PDF, con las que podrás visionarlos, crearlos, manipularlos, protegerlos, desprotegerlos, cortarlos, etc.

Tags: , , , , , , , ,

Actualización de seguridad. iTunes 10.2.2 (Win) solventa ataque vía iTunes Store.

Posted by Dabo on abril 18, 2011
Seguridad Informática / Comentarios desactivados en Actualización de seguridad. iTunes 10.2.2 (Win) solventa ataque vía iTunes Store.

Según informa Apple en su lista de correo, hay disponible una nueva versión de iTunes (10.2.2) a través del menú «Actualización de software» que solventa posible un ataque «man-in-the-middle» mientras se navega por la iTunes Store.

El problema viene dado por múltiples errores de corrupción de memoria en WebKit que pueden llevar cierres inesperados de la aplicación o a la ejecución arbitraria de código. El bug ha sido reportado por Martin Barbella.

Info original de Apple; (ENG).

APPLE-SA-2011-04-18-1 iTunes 10.2.2

iTunes 10.2.2 is now available and addresses the following:

WebKit
Available for: Windows 7, Vista, XP SP2 or later
Impact: A man-in-the-middle attack may lead to an unexpected
application termination or arbitrary code execution
Description: Multiple memory corruption issues exist in WebKit. A
man-in-the-middle attack while browsing the iTunes Store via iTunes
may lead to an unexpected application termination or arbitrary code
execution.
CVE-ID
CVE-2011-1290 : Vincenzo Iozzo, Willem Pinckaers, Ralf-Philipp
Weinmann, and an anonymous researcher working with TippingPoint’s
Zero Day Initiative
CVE-2011-1344 : Vupen Security working with TippingPoint’s Zero Day
Initiative, and Martin Barbella

Tags: , , , , , , , ,

OpenOffice será gestionado por la comunidad

Posted by vlad on abril 18, 2011
Programas / Comentarios desactivados en OpenOffice será gestionado por la comunidad

Finalmente la compañía Oracle ha hecho público cual será el futuro de la suite ofimática de código libre OpenOffice, la cual quedará bajo la responsabilidad de la comunidad de desarrolladores con la ayuda de la multinacional. Se espera que sea la Document Foundation la que recoja el testigo por ser la creadora del fork LibreOffice, con lo que si finalmente sucediera, solo habría una linea de desarrollo y un solo producto con su anterior nombre. Buena noticia para los usuarios ya que se abre la mejor de las puertas hacia la continuidad de OpenOffice, pero habrá que esperar a que la mencionada Document Foundation se haga cargo del mismo.

Así mismo desde Oracle se ha hecho incapié en el apoyo al formato Open Document Format (ODF), lo cual despeja un poco mas las intenciones de Oracle hacia el mundo del software libre, que tantas dudas había generado en los últimos tiempos.

Tags: , , ,

Actualizaciones de Flash Player y Adobe Air solucionan vulnerabilidades

Posted by Destroyer on abril 16, 2011
Seguridad Informática / Comentarios desactivados en Actualizaciones de Flash Player y Adobe Air solucionan vulnerabilidades

Se encuentran disponibles para su descarga e instalación varias actualizaciones para Adobe Flash Player y Adobe AIR, en versiones para Windows, Macintosh y/o UNIX que solucionan graves vulnerabilidades de versiones anteriores.

Se recomienda actualizar a la mayor brevedad posible a las nuevas versiones 10.2.159.1 de Flash Player y 2.6.19140 para Adobe AIR.

En este manual puedes ver como Comprobar y actualizar la versión de Flash Player instalada en tu equipo con Windows.

Tags: , , , , , , , ,

[Breves] Actualización de seguridad 2011-002 en Mac OS X

Posted by Destroyer on abril 16, 2011
[Breves] / Comentarios desactivados en [Breves] Actualización de seguridad 2011-002 en Mac OS X

Desde la lista de correo de Apple Security nos llega este aviso de actualización de seguridad catalogada como 2011-002 para Mac OS X, iOS y Safari.

Recordad que está disponible a través del menú “manzana” – “actualización de software” y dado los temas que se solventan, es más que recomendable actualizar.

Tags: , , , , , , ,

Nueva versión de Google Chrome soluciona varias vulnerabilidades

Posted by Destroyer on abril 15, 2011
Seguridad Informática / Comentarios desactivados en Nueva versión de Google Chrome soluciona varias vulnerabilidades

Se encuentra disponible para su descarga e instalación la versión 10.0.648.205 de Google Chrome, que solventa tres vulnerabilidades de este navegador web y actualiza Flash Player que también era vulnerable.

El navegador Google Chrome, se encuentra disponible para Windows, GNU/Linux o Mac OS X y es multi-lenguaje.

Lo normal es que el navegador se actualice automáticamente, no obstante por si no fuera así, podéis seguir las indicaciones de nuestro manual de actualización de Google Chrome.

Tags: , , , , ,

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad