domingo, 25 de agosto de 2013

Vulnerabilidad encontrada en sitio web de Kaspersky Lab permitía distribuir Malware

Un analista de ciberseguridad que el mes pasado ya había encontrado la manera de hacer una inyección SQL en el sitio web de Avira, reporta haber encontrado en el sitio web del antivirus "Kaspersky" una vulnerabilidad explotable, como es el "redireccionamiento no validado".

El redireccionamietno no validado forma parte de la lista del OWASP TOP 10, esta vulnerabilidad podría ser explotada con propósitos como:
  • Páginas de Phishing o sitios web clonados
  • Distribuir malware

jueves, 18 de julio de 2013

Inauguramos dos nuevas Secciones en nuestro Blog [Desafíos y Herramientas de Hacking]

Continuando con la difusión de OWASP en nuestra sede y en el país en general por parte de nuestro capítulo decidimos extender el Blog con 2 nuevas zonas que serán de gran interés para nuestros lectores y todas las personas interesadas en Seguridad Informática, especialmente en lo que se refiere a Aplicaciones Web, a continuación las describimos en detalle:

sábado, 15 de junio de 2013

OWASP Top Ten 2013

A1 - Injection: Corresponde a las inyección de código, siendo las inyecciones SQL una de las más comunes.
A2 - Broken Authentication and Session Management (anteriormente 2010-A3): Corresponde al mal manejo de las sesiones en aquellas aplicaciones que utilizan autenticación.
A3 - Cross-Site Scripting (XSS) (anteriormente 2010-A2): Ocurre cuando existe validación pobre de la información ingresada por el atacante.
A4 - Insecure Direct Object References: Puede derivar en un acceso no autorizado a información crítica debido a errores en el diseño o desarrollo.
A5 - Security Misconfiguration (anteriormente 2010-A6): Corresponde a configuraciones no adecuadas que pueden impactar en la seguridad de la propia aplicación.
A6 - Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage y 2010-A9 Insufficient Transport Layer Protection formaron 2013-A6): Se refiere a la protección incorrecta de datos críticos tales como, por ejemplo, números de tarjetas de crédito, contraseñas, entre otros.

lunes, 15 de abril de 2013

OWASP Latam Tour 2013 — UTPL [Hackem]

OWASP Latam Tour 2013
El OWASP Latam Tour 2013 es una serie de Con­fer­en­cias ori­en­tadas al ámbito de la Seguri­dad web, la edi­ción de este año, para Quito-Ecuador se realizará en la UTPL — Uni­ver­si­dad Tec­nica Par­tic­u­lar de Loja — Sede Quito.
Direc­ción: Av. 6 de Diciem­bre Nº 31–110 y Whim­per. Tor­res Tener­ife, aula magna (Diag­o­nal UTPL)
En esta edi­ción ten­dremos a exper­tos de difer­entes orga­ni­za­ciones (Nacionales e Inter­na­cionales) los cuales dic­tarán las con­fer­en­cias adjun­tas en la parte infe­rior de esta publicación.
Para este Miér­coles 27 de Marzo, en Quito, se lle­varan a cabo los sigu­ientes talleres :
  • Taller de Análi­sis de Mal­ware: Méto­dos y téc­ni­cas — Pablo Ramos (Argentina)
  • Taller Prac­tico de Seguri­dad Web — Ramiro Pul­gar (Ecuador)
  • Taller Desar­rollo Seguro usando OWASP ESAPI — Fabio Cerullo (Irlanda)

viernes, 5 de abril de 2013

FLISOL 2013 Ecuador - Hackem EPN

FLISOL_Portada.jpg
El FLISOL 2013, en la sede Quito será organizado por la Comunidad de Software Libre y Seguridad Informática — Hackem de la Escuela Politécnica Nacional liderada por el Sr. Galoget Latorre, este evento se realizará con el fin de celebrar las virtudes del Software Libre, y también para promover su uso para el beneficio del público dando a conocer a los asistentes su filosofía, alcances, avances y desarrollo. En el evento se instalará, de manera gratuita y totalmente legal, software libre en las computadoras que llevan los asistentes. Además, en forma paralela, se ofrecen charlas, ponencias y talleres (presenciales y virtuales), sobre temáticas locales, nacionales e internacionales en torno al Software Libre, en toda su gama de expresiones: artística, académica, empresarial y social.

Cabe destacar que para el evento tenemos conferencistas expertos en los temas a dictarse, profesionales que participaron anteriormente como invitados VIP al Campus Party Quito 2012, correspondiente al Área de Innovación [Cultura y Software Libre, Desarrolladores, Seguridades y Redes] donde se promueven las últimas tendencias tecnológicas.

El evento también tiene como objetivo brindar información sobre soluciones de bajo costo para pequeñas y medianas empresas – GNU/Linux, Software de Oficina, Conmutadores y Servidores. Es un evento dirigido a todo tipo de público: estudiantes, académicos, empresarios, funcionarios, entusiastas e interesados.