Pages

Ads 468x60px

lunes, 27 de abril de 2015

Hacking desde 0. Hoy lectura recomendada



En esta ocasión os dejo el libro Hacking for dummies en su 4ª edición. El libro es bastante nuevo (2013). Toca diversos temas como la introducción al hacking ético, desarrollo de tu plan de hacking ético, metodología del hacking, ingeniería social, sistemas de almacenamiento y bases de datos y un largo etcétera.




Espero que disfrutéis la lectura.

Roberto García (@1GbDeInfo)

domingo, 19 de abril de 2015

Hacking desde 0. Hoy auditoría de seguridad





Hoy vengo a hablaros sobre auditoría de seguridad, vamos a ver conceptos de teoría y algún ejemplo para que todo quede claro.

No vamos a entrar en las polémicas ¿Que es un hacker?, ¿Que es un cracker?, sombreros blancos, gris o negro, ya que para eso esta el sentido común y las ideas de cada uno.

Solo una aclaración.


Imagen de la cerveza de los chicos de Hack&Beers



Veamos las partes del proceso de auditoría.

jueves, 16 de abril de 2015

Hacking desde 0. Hoy SQLmap







Seguro que todos ya sabéis lo que es el lenguaje SQL e incluso lo que es una inyección SQL (o SQLi). Bien pues hoy vamos a tener una primera toma de contacto con el programa SQLmap

SQLmap es una de las herramientas mas famosas en la automatización de inyecciones SQL. Viene incluido en todas las distribuciones de seguridad, y si no es así, la puedes descargar e instalarla hasta en Windows. Si te dedicas al pentesting o te gusta la seguridad, seguro que ya la usas. 

Os dejo una lista de dorks de SQLi para que podáis investigar (ojo a lo que hacéis que puede ser delito

Bueno, vamos al lío. Supongamos que ya tenemos una web que sabemos que es vulnerable. Los comandos básicos son:

lunes, 13 de abril de 2015

Sistema de Nombre de Dominio (DNS)


Voy a intentar explicar de la forma más sencilla posible de que va esto de los DNS.

Seguro que todos ya sabéis que los DNS sirven para pasar las direcciones IP a nombres para así no tener que recordar esos números. El ejemplo más sencillo es ir al navegador y escribir por ejemplo la dirección IP de Google (una de tantas) 216.58.210.131 y ver como efectivamente carga la web de Google.




Como acordarse de todos los números de direcciones IP de todas las paginas que visitamos al día (tu webmail, twitter, facebook, linkedin, el blog de Kino...) sería una locura, los DNS nos facilitan el trabajo. Pero, ¿que más sabes sobre ellos?

Bien, como decía al principio, se encargan de establecer un nombre para cada dirección IP, pero ahí no acaba la cosa, también sirve para resolución inversa de IP o resolución de nombres de correo.

Los servidores DNS tienen unas etiquetas que nos indican la función que realiza después.




Estos son solo unos ejemplos, existen más etiquetas para los DNS, si quieres saber más, pincha aquí.

Un dominio está compuesto de al menos dos partes. En ejemplo.com podemos diferenciar dos partes de manera bastante obvia.


  •      La parte de ejemplo es un subdominio, ya que cada punto a la izquierda indica            una nueva división o subdominio.
  •      La parte del .com que es el TLD o dominio de nivel superior (Top Level Domain).

     Si realizamos una búsqueda en Internet de 1gbdeinformacion.com nuestro equipo no sabe donde está el servidor DNS encargado de su administración, cual es su dirección IP o donde se encuentra registrado.
Veamos un pequeño diagrama para entender mejor su funcionamiento.








Así es como se estructuran las comunicaciones entre los servidores de nombres. Para saber donde se encuentra nuestro dominio, nuestro DNS consulta a un servidor raíz o · (punto) para que nos diga donde se encuentra el servidor TLD que gestiona los dominios .com. Una vez que el servidor raíz nos dice donde está el TLD .com le consulta al mismo.

Los servidores TLD a su vez se sub-dividen en dos categorías. 

  • gTLD que son los dominios de nivel superior genéricos y se encargan de la organización de Internet ICANN como son .com, .org, .net, etc.
  • ccTLD que son los dominios de nivel superior controlados por sus respectivos países, como .es para España, .ru para Rusia, .cn para China, etc.
Espero que os haya servidor y que sea algo esclarecedor.




                                                                                                 Roberto García (@1GbDeInfo)

lunes, 6 de abril de 2015

Hacking desde 0. Hoy bruteforce con Hydra



Estoy seguro de que los más sabios del lugar saben perfectamente de que voy a hablar, pero como digo siempre, somos muchos los que tenemos pocos (o ningún) conocimiento en el mundo del hacking. Ya sabéis que este blog siempre ha tratado de explicar todo de la manera más simple posible, y esta vez no iba a ser menos.

Lo que vamos a utilizar en esta ocasión, es una máquina con Kali (descarga desde aquí) y otra con Owasp Broken Web Aplications (descarga desde aquí).

Antes de nada, si alguien no conoce Hydra veamos que es y para que vale.

viernes, 3 de abril de 2015

Qurtuba Security Congress




Solo queda una semana para la Qurtuba Security Congress de Córdoba que se celebrará los días 10 y 11 de abril en una de las ciudades (para mi) más bonitas de España.

Es la primera edición, así que no deberíais perderos este congreso, porque viene cargado de grandísimos ponentes y profesionales del mundo de la seguridad como Angelucho, Daniel Medianero, Dabo, Juan Antonio Calles y Pablo González Miriam García, Oscar de la Cruz, Silvia Barrera, Ruth Sala, Jorge Corona, etc (puedes ver el programa completo desde aquí).

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates