pentester.es
Pentester.es
http://www.pentester.es/p/jose-selvi.html
Seguridad de Sistemas Informáticos. Nacido en Valencia, España. Pentester.es ( GPG. Doctorando en Informática y Matemática Computacional. Ingeniero Técnico en Telecomunicaciones. GIAC Security Expert (GSE). SANS FOR508: Advanced Computer Forensic Analysis and Incident Response. SANS FOR408: Computer Forensic Investigations - Windows In-Depth. SANS SEC503: Intrusion Detection In-Depth. SANS SEC560: Network Penetration. Testing and Ethical Hacking. David Pérez Conde (GIAC GSE). Equipo de Hacking Ético.
pentester.es
Pentester.es: An IE Same Origin Policy Bypass story
http://www.pentester.es/2015/02/an-ie-same-origin-policy-bypass.html
Seguridad de Sistemas Informáticos. Jueves, 5 de febrero de 2015. An IE Same Origin Policy Bypass story. Hace un par de días estaba leyendo mis feeds cuando de repente un titular llamó mi atención: " Seria vulnerabilidad en Internet Explorer totalmente parcheado expone las credenciales de los usuarios. Le he estado pegando un vistazo a la vulnerabilidad en las últimas horas y vaya si funciona. La PoC publicada. A primera vista la vulnerabilidad parece una condición de carrera o similar. Tenemos dos i...
pentester.es
Pentester.es: enero 2013
http://www.pentester.es/2013_01_01_archive.html
Seguridad de Sistemas Informáticos. Miércoles, 23 de enero de 2013. Explotando Nagios paso a paso (y III). Hace un par de días dejábamos ESTE. Post sobre la explotación del history.cgi de Nagios con que habíamos conseguido todos los gadgets necesarios pero nos faltaba encontrar la dirección de la función unescape, así que. allá vamos! Cmd="ping -c5 127.0.0.1;". Cmd = cmd.replace(" ", "${IFS}"). Unescape addr=' x60 xc2 x04 x08'. Popret addr=' x04 x8f x04 x08'. Hostbuf addr=' x60 x9b x07 x08'. 64 bytes fro...
edge-security.blogspot.com
Security on the edge: October 2014
http://edge-security.blogspot.com/2014_10_01_archive.html
Security on the edge. An Edge-security blog about Penetration Testing, security tools, and other interesting stuff. Thursday, October 30, 2014. Scan for shellshock with wfuzz. The best way to test for the Shellshock vulnerability is to do a local check but if you are worried about your web server hosting a vulnerable /cgi-bin and you don't have shell access, there are plenty of free Shellshock on-line scanner tools such as:. Http:/ shellshock.brandonpotter.com/. Http:/ bashsmash.ccsir.org/. Allows you to...
edge-security.blogspot.com
Security on the edge: August 2011
http://edge-security.blogspot.com/2011_08_01_archive.html
Security on the edge. An Edge-security blog about Penetration Testing, security tools, and other interesting stuff. Monday, August 8, 2011. Wfuzz 2.0 released! After Christian presentation at BlackHat/2011 Tools Arsenal,. I'm pleased to announce a new version of WFuzz. It is now more flexible, dynamic and extensible than ever! Highlights in this version:. You can now define as many. Per payload. You can now define as many encoders as you need for each payload independently. Other new features include:.
edge-security.blogspot.com
Security on the edge: May 2010
http://edge-security.blogspot.com/2010_05_01_archive.html
Security on the edge. An Edge-security blog about Penetration Testing, security tools, and other interesting stuff. Friday, May 14, 2010. Massive Web Application discovery with Wfuzz. Last week i had to review like 40 websites for a penetration test in a short period of time, so the first thing i wanted was to search for directories or files in the web servers, so how can i automate the full scan with Wfuzz? We can use a command like this:. Subscribe to: Posts (Atom). Carlos del Ojo Elías.
pentester.es
Pentester.es: septiembre 2014
http://www.pentester.es/2014_09_01_archive.html
Seguridad de Sistemas Informáticos. Lunes, 1 de septiembre de 2014. Agenda de Septiembre y Octubre. Septiembre y Octubre, como quien no quiere la cosa, está plagado de conferencias y eventos de seguridad por casi todo el país. Durante los pasados meses he mandado algunas propuestas a los CFP de las diferentes charlas y he tenido la suerte de que sean aceptadas, así que tocan un par de meses de pasearse por ahí :). El primero de los eventos es la RootedCON Satellite Edition. El 19 y 20 de Septiembre.
pentester.es
Pentester.es: marzo 2013
http://www.pentester.es/2013_03_01_archive.html
Seguridad de Sistemas Informáticos. Lunes, 25 de marzo de 2013. Contribución de Francisco Losada. Asistente de la última edición del SEC-560 que impartí el pasado año y buen amigo, en la que nos va a contar con detalle en que consisten las vulnerabilidades de Cross-Site Request Forgery:. Los ataques CSRF o XSRF son uno de los principales vectores de ataque a los que se enfrentan las empresas en sus aplicaciones web según OWASP. Las acciones que se pueden llevar a cabo a través de estos ataques dependen d...
pentester.es
Pentester.es: julio 2013
http://www.pentester.es/2013_07_01_archive.html
Seguridad de Sistemas Informáticos. Martes, 9 de julio de 2013. Curso Incident Handling en Madrid en Septiembre. Con el que he tenido la suerte de coincidir en la Universidad, en algún trabajo y como Mentor de cursos del. Como seguramente muchos ya sabréis, el SANS Institute. De entre ellos, he acordado con el SANS Institute impartir el curso " SEC504: Hacker Techniques, Exploits and Incident Handling. Los materiales del curso están en inglés, pero las clases serán impartidas en Español. 191;Qué es y par...
SOCIAL ENGAGEMENT