domingo, 20 de novembro de 2016
Un protocolo é un conxunto de normas e regras que permiten que dúas ou máis entidades dun sistema de comunicación se comuniquen entre eles para transmitir información. O protocolo especifica os aspectos como a sintaxe das mensaxes, a sincronización, a recuperación de erros e outras especificacións.
O protocolo HTTP (Hypertext Transfer Protocol) é o conxunto de regras que goberna a comunicación entre o cliente e o servidor nas distintas peticións que se realizan nunha aplicación web.
É o principal protocolo da World Wide Web. É un protocolo sen estado (stateless), xa que cada transferencia de datos é unha conexión diferente á anterior, sen relación entre elas e orientado á conexión.
O protocolo DNS é o conxunto de regras que goberna a traducción entre direccións IP e nomes.
IP (Internet Protocol) é un dos protocolos fundamentais para o funcionamento de internet xa que identifica cunha dirección IP aos elementos da súa rede.
A mensaxe IP fórmase por:
cabeceira: Indica todo o necesario para que o paquete chegue ó seu destino
Datos: Lugar onde vai toda a información.
Xa que as direccións son difíciles de manexar, existe un sistema de traducción de nomes para identificar clientes e servidores con nomes amigables.
Exemplos de direccións IPv4 (32 bits) e Ipv6 (128 bits)
Artigos
a seguridade nos métodos HTTP
¿están seguras as túas aplicacións web?
comprobar se un servizo está escoitando un porto
exploits en páxinas web
Path6 protocolo IPFS
seguridade web
gaña diñeiro cada vez que compras
vulnerabilidades
analizar web
reportar vulnerabilidades - Google
evaluar a calidade dun escáner web
escanear vulnerabilidades web usando Uniscan
Comprobar se os scripts dunha páxina web son maliciosos
OWASP top 10
probas de seguridade en aplicacións web - OWASP
OWASP ZAP (incluído en Kali Linux) aplicación para atopar contido malintencionado en páxinas web, como por exemplo algún código javascript que realice algunha acción maliciosa(por exemplo modificar o etc/hosts para facer pharming).
Permite un escáner manual da rede ou un escáner en segundo plano que actuará cada vez que visites páxinas web. características Tutorial Pentesting
vulnerabilidades 0-day
Google Cloud Security Scanner
Nessus Home escáner de vulnerabilidades
Nikto - vulnerabiliades web Guía
Wapiti
WP-Scan - vulnerabilidades WordPress
Banner grabbing
O banner grabbing é unha das formas de coñecer qué infraestructura ou sistema se atopa detrás dunha aplicación web ou servizo
Tests - Prácticas
tunneling e pivoting
pivoting - metasploit
pivoting con meterpreter
codecademy
Hack This Site! retos a resolver - Basic
Hack me
OWASP WebGoat Project
PentesterLab - proxecto destinado ao aprendizaxe de técnicas de intrusión en diferentes plataformas e ecosistemas, con exercicios. (Exercicios online na versión PRO )
laboratorio pentest
OWASP
OWASP (Open Web Application Security Project), Proxecto aberto de seguridade de aplicacións web’) é un proxecto de código aberto adicado a determinar e combatir as causas que fan que o software sexa inseguro.
OWASP Top Ten Project Top ten 2013 testing guide
auditar APP iOS
ZAP - auditar seguridad de web pentesting con ZAP
Inxección SQL
Inxección SQL inxección de código inxeccións SQL - exemplos
Inxección de código SQL definición e exemplos reais
Inxección SQL cega ¿que son, como funcionan e cómo deben evitarse?
SQL injection Level 1 cómo evitar
manual básico
testing
Tutorial ataques
SQLiKB - guía para realizar ataques, con exemplos prácticos
Taller de Hacking Web
robots.txt
información cómo crealo
¿cómo aproveitar o ficheiro para mellorar o SEO?
Ver data de última modificación da páxina web
wget -S – –spider http://www.turismodecuntis.es 2>&1 | grep Mod
Tamén pode saberse en Firefox , pulsando co botón dereito na páxina desexada e a opción "Ver información da páxina"
10 ferramentas para saber o tráfico das visitas web
XSS (Cross-site scripting)
¿qué é e cómo funciona? ¿qué é? - bloquear Android CSRF
iniciándose en XSS comprendendo a vulnerabilidade en sitios web
ataques XSS en aplicacións web clickjaking exemplo erro
¿cómo evitar ataques XSS? evitar ataques con PHP uso de función
prevención de ataques en aplicacións web Google
seguridade no desenvolvemento de aplicacións
contramedidas
¿Qué é a verificación en 2 pasos?
Analizar se unha web é lexítima
detectar e comprobar sitio web cómo verificar un sitio web
compra online de forma segura - Google
ferramentas antifraude
BDD-Security - marco de probas de seguridade
Irius Risk - plataforma que analiza os riscos de seguridade nas aplicacións e propón contramedidas
Os certificados dixitais e o DNI electrónico son dos mecanismos de identificación do usuario máis seguros pois teñen unha equivalencia coa persoa física á que representan. Os certificados electrónicos son ficheiros que levan os datos dunha persoa e son creados por unha organización de confianza como o Corpo Nacional de Policía, ou a Fábrica Nacional de Moeda e Timbre (FNMT). Constan de varios contrasinais, tanto para acceder a eles como para establecer comunicacións seguras. As tres funcións principais que nos permiten realizar son:
• Autenticación do usuario/a. Engade un nivel de seguridade máis alto á hora de identificar ao usuario, de xeito que só poderá identificarse deste xeito quen estea en posesión do certificado e o contrasinal.
• Sinatura dixital. Permite inserir datos a maiores nun arquivo correspondente a un documento para indicar que foi asinado polo titular do certificado.
• Cifrado. Permite enviar información de xeito seguro cifrando ou encriptando a información empregando os contrasinais do certificado.
O DNI electrónico precisa dun lector hardware específico, e da presencia física do DNI para establecer a identificación. O certificado dixital neste caso atópase almacenado no chip que se atopa na tarxeta do DNI.
Por outra banda o certificado dixital é un arquivo que se pode instalar nun navegador para utilizalo cando precisemos del. Cada vez que solicitemos o uso dun certificado amosarase unha ventá permitindo seleccionar dos certificados instalados, cal queremos empregar.
¿qué certificado SSL é de confianza?
para conseguir certificados SSL:
Lets Encrypt utilizando Certbot e Lets Encrypt
cómo conseguilo utilizando Amazon Web Services
Ferramentas
75 ferramentas de seguridade
Burp Suite Descargar instaladores Firefox
introducción interception
FoxyProxy - Extensión para Firefox. (Se necesitamos instalar este complemento sen conexión a internet, entón previamente sería necesario descargar o arquivo con extensión .xpi mediante o botón dereito do rato "Gardar ligazón como" )
Burp permite facer análises de seguridade de aplicacións Web. (por defecto instalada en Kali Linux)
Dispón de distintos niveis de dificultade e varios tipos de vulnerabilidades web a explotar
Nmap é unha ferramenta de código aberto para exploración de rede e auditoría de seguridade
chuleta
rastreo de portos pentesting exemplos Guía avanzada scripts exemplos
Zenmap descargar
OpenVAS é un escáner de vulnerabilidades para detectar e identificar fallos de seguridade.
( apt install openvas )
