martes, 26 de enero de 2010

Guía del Cloud Computing


Si hace unos meses mencionaba en este blog los recursos de NIST para informarse acerca del Cloud Computing, ahora tenemos algo mejor: el Cloud Computing Security Alliance presentó no hace mucho tiempo la versión dos de su guía sobre Cloud Computing (lo cuentan en Segu-Info, a través de los cuales me he enterado).

Esta contiene, además de la definición del término "Cloud Computing", el conjunto de áreas críticas a las que prestar atención en lo relevante a la implantación de servicios de cloud computing o la contratación de los mismos, bien descritas, con sus listas de consejos y buenas prácticas, etc.

Tenemos la traducción al castellano gracias a ISMS Forum Spain, que nos lo irá presentando poco a poco (el enlace es un resumen ejecutivo, según puede leerse en el propio documento).

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

viernes, 22 de enero de 2010

Las 10 mejores técnicas de hacking web 2009


Jeremiah Grossman publica, desde 2006, un listado con las mejores técnicas de hacking en aplicaciones y servicios web que han aparecido el año anterior. Acaba de presentar la de este año: Top Ten web hacking techniques of 2009 (Official), elegida por algunos de los mejores expertos en seguridad (web) que podemos encontrar a escala internacional: el propio Jeremiah, Rich Mogull, Dinis Cruz, Chris Hoff, HD Moore, Billy Rios, Dan Kaminsky, Steven Christey, Jeff Forristal, Michal Zalewski, y Romain Gaucher.

La producción o innovación de nuevas técnicas en el año pasado ha sido bastante elevada, con un registro de hasta 82 nuevos ataques presentados en foros, conferencias, revistas, blogs, etc, con lo que lo han tenido difícil para elegir. Se puede consultar el top ten en el blog del propio Jeremiah.

Yo, personalmente, me quedo con estas, no por seguir orden particular, temática concreta, o hacer mi propio top ten, sino sencillamente porque me llaman la atención (advierto que no he podido leer detenidamente más que unos cuántos ataques de la lista de Jeremiah):

Slds!


Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...

lunes, 11 de enero de 2010

domingo, 3 de enero de 2010

WASC Classification v2


Acaba de salir la versión 2 del diccionario de amenazas web de WASC, una clasificación de los distintos tipos de vulnerabilidades web que podemos encontrar, clasificadas según los ataques que se realizan, y las debilidades que permiten que estos ataques funcionen. La lista ha quedado de la siguiente manera:

Attacks Weaknesses
Abuse of Functionality Application Misconfiguration
Brute Force Directory Indexing
Buffer Overflow Improper Filesystem Permissions
Content Spoofing Improper Input Handling
Credential/Session Prediction

Improper Output Handling

Cross-Site Scripting Information Leakage
Cross-Site Request Forgery

Insecure Indexing

Denial of Service Insufficient Anti-automation
Fingerprinting Insufficient Authentication
Format String Insufficient Authorization
HTTP Response Smuggling Insufficient Password Recovery
HTTP Response Splitting Insufficient Process Validation
HTTP Request Smuggling Insufficient Session Expiration
HTTP Request Splitting Insufficient Transport Layer Protection
Integer Overflows Server Misconfiguration
LDAP Injection
Mail Command Injection
Null Byte Injection
OS Commanding

Path Traversal
Predictable Resource Location
Remote File Inclusion (RFI)
Routing Detour
Session Fixation
SOAP Array Abuse
SSI Injection
SQL Injection
URL Redirector Abuse
XPath Injection
XML Attribute Blowup
XML External Entities
XML Entity Expansion
XML Injection
XQuery Injection

Slds!

Si te gustó esta entrada, quizás quieras suscribirte al blog por RSS...