Estás en: Inicio » seguridad
Archivo | seguridad Feed RSS de esta sección

DOM Snitch: nueva herramienta de Google para detectar vulnerabilidades

el 23 junio 2011 en Google, herramientas, seguridad

Google ha lanzado una nueva herramienta denominada DOM Snitch destinada a desarrolladores que permite verificar si las aplicaciones web que han creado son vulnerables a ataques y ponen en peligro la seguridad de los usuarios de Chrome.

La herramienta que lanza Google es una extensión de Chrome en fase experimental (puede descargarse a través de la página oficial de descargas de Google) permite a los desarrolladores y testeadores “identificar las prácticas inseguras que se encuentran en el código del lado del cliente”.

DOM Snitch se une así a otras herramientas open source como Skipfish (sobre la que ya escribimos en Google Skipfish: escaner de vulnerabilidades web) y Ratproxy que Google ofrece para comprobar la seguridad de aplicaciones web.

Continuar leyendo →

Comentarios { 2 }

INTECO-CERT publica una guía sobre seguridad en sitios web

el 16 abril 2011 en seguridad

INTECO-CERT publica una guía sobre seguridad website

INTECO-CERT acaba de publicar una guía sobre seguridad de sitios web que “pretende servir de referencia a los responsables de seguridad de un sitio Web a la hora de detectar ataques, de minimizar posibles daños una vez sufrido el ataque o de tomar medidas preventivas para evitar que un sistema se vea comprometido”.

La guía informa de una serie de buenas prácticas y de ejemplos de configuración con el objetivo de evitar que, en primer lugar, un portal web sea vulnerable a ataques. Para ello en la guía se ofrecen recomendaciones como:

  • Auditar los logs.
  • Programar mediante una metodología que garantice que el código sea seguro.
  • Implementar una configuración correcta del servidor web.
  • Actualizar el software del servidor.
  • Etc.

Y, en el supuesto de que un portal sea comprometido, cómo se puede detectar y qué medidas se pueden tomar para recuperarse de este ataque. Para ello se pueden tomar acciones como:

  • Cambiar las contraseñas de acceso.
  • Encontrar y reparar los cambios maliciosos.
  • Etc.

La guía de seguridad de seguridad de sitios web se puede descargar directamente en formato PDF o en la sección de “Estudios e informes” del portal de INTECO-CERT.

 

Fuente: INTECO-CERT

Comentarios { 1 }

Actualización de seguridad en WordPress

el 6 abril 2011 en cms, seguridad, Wordpress

Ya está disponible la actualización 3.1.1 de WordPress (también en Español) para su utilización. No presenta nuevas funcionalidades destacables aunque si corrige varios bugs y problemas de seguridad potenciales.

Estos son los cambios que el equipo de WordPress ha anunciado en Blog oficial:

  • Mejora de la seguridad en el upload de ficheros
  • Mejoras en el rendimiento
  • Correcciones en la instalación sobre  IIS6
  • Correcciones en taxonomías y en permalinks (PATHINFO /index.php)
  • Correcciones en queries para mejorar la compatibilidad con plugins.

WordPress 3.1 fue lanzado a finales de febrero y ya ha sido descargado cerca de 4.500.000 veces. Aunque no estemos experimentando problemas con la esta versión, deberíamos actualizar a la 3.1.1, porque resuelve tres problemas de seguridad descubiertos por el equipo de seguridad de WordPress.

Comentarios desactivados

Guía de seguridad web en navegadores – INTECO

el 24 febrero 2011 en navegadores, seguridad

Incluimos la nota de actualidad publicada hoy por INTECO con la referencia al manual “Browser Security Handbook“, que tiene  como objetivo proporcionar una referencia a desarrolladores web sobre las propiedades y requisitos de seguridad básicos que deben de cumplir los navegadores así como una comparativa de los mismos.

Continuar leyendo →

Comentarios { 1 }

Watobo, herramienta de auditorias de seguridad web

el 5 febrero 2011 en seguridad

Watobo tiene por objeto permitir a profesionales llevar a cabo auditorías de seguridad en entornos Web. Está programada en FxRuby y funciona como un proxy local de forma similar a WebScarab, Paros o BurpSuite. Pueden realizarse dos tipos de controles: activo y pasivo.

Los controles pasivos son más bien funciones de filtro que se utilizan para reunir información útil, por ejemplo, correos electrónicos o direcciones IP. Los controles activos producen un elevado número de solicitudes (según el módulo de control), ya que se encargan de hacer la parte automática de la identificación de vulnerabilidades (por ejemplo SQL Injection). Algunas de sus características más destacables son: gestión de sesiones, funciones de filtro inteligente, escaner de vulnerabilidades, fuzzer, etc.

Tiene licencia GNU General Public License Version 2 y corre en plataformas Windows, Linux y Mac OS X.

Comentarios { 1 }

UI-Spoofing en Safari para iPhone

el 9 diciembre 2010 en navegadores, optimizacion, seguridad

Noticia publicada en Hispasec:

Nitesh Dhanjani, investigador de seguridad ha publicado en su blog una vulnerabilidad por la cual un atacante podría engañar al usuario haciéndole creer que están en páginas de confianza como bancos, tiendas online u otras páginas de carácter sensible, cuando en realidad no lo están.

El problema, tan tonto como peligroso, no reside en el navegador, sino en el sistema operativo iOS que, por diseño, permite a decisión del programador, desplazar la barra de direcciones fuera de la zona visible del usuario, permitiendo de esta manera tener más espacio útil en la pantalla.

Nitesh Dhanjani, investigador de seguridad ha publicado en su blog una vulnerabilidad por la cual un atacante podría engañar al usuario haciéndole creer que están en páginas de confianza como bancos, tiendas online u otras páginas de carácter sensible, cuando en realidad no lo están.

El problema, tan tonto como peligroso, no reside en el navegador, sino en el sistema operativo iOS que, por diseño, permite a decisión del programador, desplazar la barra de direcciones fuera de la zona visible del usuario, permitiendo de esta manera tener más espacio útil en la pantalla.

Continuar leyendo →

Comentarios { 1 }

Compression Plugin made by Cork Tiles