Categoría: Seguridad
Anonymous ataca las webs del gobierno peruano
Con el slogan "Andes Libres", Anonymous está atacando en estos momentos a distintos sitios del gobierno peruano (mi país). Esto en rechazo a la "TransPacific PartnerShip Agreement", con el cuál se pretende: Posición extrema de los derechos de autor Intromisión a la privacidad de los usuarios Criminilazación y penalización por el uso de contenido de [...]
También publicada en Perú
Seguridad: validación de datos
No sé si todavía haya alguien que suela darle una mirada a los artículos de este blog, más aún si es alguien que conocía este sitio cuando solía escribir desvariar sobre temas relacionados a la seguridad hace unos años atrás. No sé si he escrito sobre este tema antes, pareciera ser que no tengo muy [...]
También publicada en Wordpress
Collège de France: interesantes presentaciones sobre seguridad informática
Durante los meses de marzo, abril y mayo de este año, se han realizado un conjunto de presentaciones sobre seguridad (inglés, francés) en el Collège de France, en París. Pueden descargar las transparencias y ver los videos de las presentaciones. Leslie Lamport, por ejemplo habla de los fallos bizantinos y algunos algoritmos de consenso y [...]
También publicada en Artículos, Web
WordPress < 3.1.3: Multiples vulnerabilidades
Aunque en el anuncio oficial no se mencione muy claramente, esta versión trae importantes cambios. La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que permitían la ejecución de código php, siempre y cuando la configuración de Apache permita aceptar múltiples extensiones. Esto es una variante de un falla anterior. [...]
También publicada en Wordpress
WordPress: protección contra ataques CSRF
Para aquellos que desconocen, WordPress utiliza (desde la versión 2 si mal no recuerdo) las funciones wp_create_nonce y wp_verify_nonce como sistema de protección para ataques de tipo CSRF. Más allá de algunos problemas no relacionados con la implementación de estas funciones, ha funcionado bastante bien a lo largo del tiempo. Entrando un poco más en [...]
También publicada en Wordpress
WordPress, tres años después
Aunque nunca haya sido un gran colaborador de WordPress, recuerdo que desde los primeros tickets que abrí relacionados a su seguridad, llegué a conocer relativamente bien el código que formaba parte de las versiones 2.0.x a 2.3.x. Solía seguir de manera regular los cambios que se iban haciendo y reporté unas cuantas fallas de seguridad. [...]
También publicada en Wordpress
Seguridad de las compras en línea
Interesante artículo (pdf) donde comentan algunas fallas de algunas plataformas de comercio electrónico. Recuerdo que hace unos años, me había tocado integrar ese tipo de cosas en aplicaciones existentes. En ese entonces habían bastantes cosas que las daba por seguras, haciendo evidentemente la aplicación propensa a los problemas que se describen en ese artículo. Ahora [...]
También publicada en Miniposts
Un extraño ataque modifica los archivos index.*
Hace ya casi un mes se ha detectado un ataque de inyección de código que sólo ataca a los ficheros con nombre index (index.htm, index.html, index.php) y añade la siguiente línea de código: HTML: <img heigth="1" width="1" border="0" src="http://myteenmovies.net/t.php?id=xxxxxxx">No es específico de un CMS, simplemente cualquier sitio puede estar afectado. Como prueba se puede hacer [...]
También publicada en XSS