web

Comentado por : CeMIT Cuntis domingo, 20 de novembro de 2016

Un protocolo é un conxunto de normas e regras que permiten que dúas ou máis entidades dun sistema de comunicación se comuniquen entre eles para transmitir información. O protocolo especifica os aspectos como a sintaxe das mensaxes, a sincronización, a recuperación de erros e outras especificacións.

O protocolo HTTP (Hypertext Transfer Protocol) é o conxunto de regras que goberna a comunicación entre o cliente e o servidor nas distintas peticións que se realizan nunha aplicación web.

É o principal protocolo da World Wide Web. É un protocolo sen estado (stateless), xa que cada transferencia de datos é unha conexión diferente á anterior, sen relación entre elas e orientado á conexión.

O protocolo DNS é o conxunto de regras que goberna a traducción entre direccións IP e nomes.

IP (Internet Protocol) é un dos protocolos fundamentais para o funcionamento de internet xa que identifica cunha dirección IP aos elementos da súa rede.

A mensaxe IP fórmase por:

cabeceira: Indica todo o necesario para que o paquete chegue ó seu destino

Datos: Lugar onde vai toda a información.

Xa que as direccións son difíciles de manexar, existe un sistema de traducción de nomes para identificar clientes e servidores con nomes amigables.

Exemplos de direccións IPv4 (32 bits) e Ipv6 (128 bits)

¿qué é? exemplo IPv4 exemplo IPv6

comparación máscaras de subrede IPv6 FAQ IPv6

Artigos

a seguridade nos métodos HTTP

¿están seguras as túas aplicacións web?

comprobar se un servizo está escoitando un porto

exploits en páxinas web

Path6 protocolo IPFS

seguridade web

gaña diñeiro cada vez que compras

vulnerabilidades

analizar web

reportar vulnerabilidades - Google

escáneres de vulnerabilidades web

evaluar a calidade dun escáner web

escanear vulnerabilidades web usando Uniscan

Comprobar se os scripts dunha páxina web son maliciosos

OWASP top 10

probas de seguridade en aplicacións web - OWASP

OWASP ZAP (incluído en Kali Linux) aplicación para atopar contido malintencionado en páxinas web, como por exemplo algún código javascript que realice algunha acción maliciosa(por exemplo modificar o etc/hosts para facer pharming).
Permite un escáner manual da rede ou un escáner en segundo plano que actuará cada vez que visites páxinas web. características Tutorial Pentesting

vulnerabilidades 0-day

Google Cloud Security Scanner

Nessus Home escáner de vulnerabilidades

Nikto - vulnerabiliades web Guía

Wapiti

WP-Scan - vulnerabilidades WordPress

Banner grabbing

O banner grabbing é unha das formas de coñecer qué infraestructura ou sistema se atopa detrás dunha aplicación web ou servizo

prevención en Tomcat

censys

Tests - Prácticas

tunneling e pivoting

pivoting - metasploit

pivoting con meterpreter

codecademy

Hack This Site! retos a resolver - Basic

Hack me

OWASP WebGoat Project

PentesterLab - proxecto destinado ao aprendizaxe de técnicas de intrusión en diferentes plataformas e ecosistemas, con exercicios. (Exercicios online na versión PRO )

laboratorio pentest

OWASP

OWASP (Open Web Application Security Project), Proxecto aberto de seguridade de aplicacións web’) é un proxecto de código aberto adicado a determinar e combatir as causas que fan que o software sexa inseguro.

OWASP Top Ten Project Top ten 2013 testing guide

auditar APP iOS

ZAP - auditar seguridad de web pentesting con ZAP

Inxección SQL

Inxección SQL inxección de código   inxeccións SQL - exemplos

Inxección de código SQL   definición e exemplos reais

Inxección SQL cega ¿que son, como funcionan e cómo deben evitarse?

SQL injection Level 1 cómo evitar

manual básico

testing

Tutorial ataques

SQLiKB - guía para realizar ataques, con exemplos prácticos

Taller de Hacking Web

robots.txt

información cómo crealo

¿cómo aproveitar o ficheiro para mellorar o SEO?

Ver data de última modificación da páxina web

wget -S – –spider http://www.turismodecuntis.es 2>&1 | grep Mod

Tamén pode saberse en Firefox , pulsando co botón dereito na páxina desexada e a opción "Ver información da páxina"

10 ferramentas para saber o tráfico das visitas web

XSS (Cross-site scripting)

¿qué é e cómo funciona? ¿qué é? - bloquear Android CSRF

iniciándose en XSS   comprendendo a vulnerabilidade en sitios web

ataques XSS en aplicacións web clickjaking exemplo erro

¿cómo evitar ataques XSS? evitar ataques con PHP uso de función

prevención de ataques en aplicacións web Google

seguridade no desenvolvemento de aplicacións

contramedidas

¿Qué é a verificación en 2 pasos?

Analizar se unha web é lexítima

detectar e comprobar sitio web cómo verificar un sitio web

compra online de forma segura - Google

ferramentas antifraude

BDD-Security - marco de probas de seguridade

Irius Risk - plataforma que analiza os riscos de seguridade nas aplicacións e propón contramedidas

Os certificados dixitais e o DNI electrónico son dos mecanismos de identificación do usuario máis seguros pois teñen unha equivalencia coa persoa física á que representan. Os certificados electrónicos son ficheiros que levan os datos dunha persoa e son creados por unha organización de confianza como o Corpo Nacional de Policía, ou a Fábrica Nacional de Moeda e Timbre (FNMT). Constan de varios contrasinais, tanto para acceder a eles como para establecer comunicacións seguras. As tres funcións principais que nos permiten realizar son:

• Autenticación do usuario/a. Engade un nivel de seguridade máis alto á hora de identificar ao usuario, de xeito que só poderá identificarse deste xeito quen estea en posesión do certificado e o contrasinal.

• Sinatura dixital. Permite inserir datos a maiores nun arquivo correspondente a un documento para indicar que foi asinado polo titular do certificado.

• Cifrado. Permite enviar información de xeito seguro cifrando ou encriptando a información empregando os contrasinais do certificado.

O DNI electrónico precisa dun lector hardware específico, e da presencia física do DNI para establecer a identificación. O certificado dixital neste caso atópase almacenado no chip que se atopa na tarxeta do DNI.

Por outra banda o certificado dixital é un arquivo que se pode instalar nun navegador para utilizalo cando precisemos del. Cada vez que solicitemos o uso dun certificado amosarase unha ventá permitindo seleccionar dos certificados instalados, cal queremos empregar.

Qué é o candado na barra de direccións?

certificados SSL

¿qué certificado SSL é de confianza?

para conseguir certificados SSL:
Lets Encrypt utilizando Certbot e Lets Encrypt

cómo conseguilo utilizando Amazon Web Services

Ferramentas

75 ferramentas de seguridade

Burp Suite Descargar instaladores Firefox

introducción interception

FoxyProxy - Extensión para Firefox. (Se necesitamos instalar este complemento sen conexión a internet, entón previamente sería necesario descargar o arquivo con extensión .xpi mediante o botón dereito do rato "Gardar ligazón como" )

Burp permite facer análises de seguridade de aplicacións Web. (por defecto instalada en Kali Linux)

a navalla suiza do pentester
primeiros pasos
pentesting aplicacións web

estructura

ataques de diccionario e forza bruta
automatizando consultas

realizar petición HTTP usando o método POST

intercepta, analiza e filtra

interception

manipular peticións

¿cómo gañar sempre ao preguntados?

tráfico SSL Android

DVWA é unha aplicación web PHP e MySQL para o entretenemento de explotación de vulnerabilidades web nunha contorna controlada e de maneira legal.
Dispón de distintos niveis de dificultade e varios tipos de vulnerabilidades web a explotar

Nmap é unha ferramenta de código aberto para exploración de rede e auditoría de seguridade
chuleta
rastreo de portos pentesting exemplos Guía avanzada scripts exemplos
Zenmap descargar

OpenVAS é un escáner de vulnerabilidades para detectar e identificar fallos de seguridade.

( apt install openvas )

Acunetix Online: Online Vulnerability Scanner

sublist3r

Infografías

a evolución da web

Vídeos

DeepWeb

técnicas OSINT

pentesting con javascript

Subscribe to Posts | Subscribe to Comments

Navegación

Ciberseguridade

blog de ciberseguridade

Máis vistos

Máis vistos

web

Leave a Reply

O máis visitado da semana

Ligazóns

Arquivo do blog

Etiquetas