La gente de Sucuri Malware Labs (http://labs.sucuri.net) ha desarrollado una aplicación de lo más curiosa, URLFind (http://urlfind.org) que permite obtener diferentes direcciones de páginas Web en función de diversos criterios de búsqueda como, por ejemplo, el proveedor del hosting dónde residen las páginas; el CMS (Content Management System) con el que se ha creado dichas páginas, es decir, Wordpress, Joomla, Drupal, etc.; o el tipo de servidor que da soporte a las páginas Web (Apache, IIS, etc.). A pesar de que todo esto se puede hacer también directamente con Google, o incluso con Shodan, el tenerlo todo agrupado y poder distinguir entre versiones con una sola petición resulta muy útil e interesante....

Hace un año publicamos en Hacktimes cómo se podía acceder al fichero de contraseñas de Windows y comentamos el uso de herramientas tales como fgdump que vuelcan el contenido del archivo SAM con las cuentas de usuario y sus respectivas contraseñas en formato NTLM que es preciso descifrar posteriormente (http://www.hacktimes.com/contrasenas_de_windows/). Con la aparición de nuevas herramientas como mimikazt y el paso del tiempo, el proceso ha cambiado sensiblemente las aplicaciones han ido mejorando, así como los antivirus y mecanismos de seguridad y eso nos sirve como excusa para repasar un poco los conceptos y ver de nuevo de qué forma se extrae el archivo y con qué herramientas contamos....

Desde hace poco más de tres años, la gente de "Security Tools Benchmarking" (http://sectooladdict.blogspot.co.il/) publica por estas fechas su comparativa sobre los más importantes analizadores de seguridad (scanners) de aplicaciones Web. Se revisa y comprueba el comportamiento de las 60 herramientas más conocidas ante diferentes pruebas como son la precisión en la detección de vulnerabilidades del tipo Inyección SQL, vulnerabilidades de Cross Site Scripting (XSS), los métodos para validar formularios de autenticación, la facilidad de uso y la potencia de las distintas aplicaciones, su precio. etc. 10 baterías de pruebas diferentes con las que analizar el funcionamiento de todas las herramientas y ver el resultado de las mismas para elaborar un top ten que incluye, tanto herramientas comerciales y de pago, como con licencia GNU....

En múltiples ocasiones ya hemos hablado en Hacktimes.com de CMSs (Content Management Systems) y la verdad es que hasta ahora no habíamos tenido la oportunidad de trabajar con Liferay, un conocido CMS de código abierto, creado en el año 2000 y basado en Java que nada tiene que ver con Drupal, Wordpress, Joomla o cualquier otro gestor de contenidos. Liferay Portal, con más de 4 millones de descargas y alrededor de 500.000 instalaciones en todo el mundo, es uno de los principales CMSs que existen actualmente...

Hace un año publicábamos en Hacktimes un artículo (http://hacktimes.com/Analizando_redes_Wifi_con_Android) sobre cómo se podía usar un teléfono móvil con Sistema Operativo Android para analizar una red Wifi con el sistema de cifrado básico (WEP) y la configuración de seguridad que viene por defecto proporcionada por el proveedor de Internet (ISP) correspondiente.

Hoy en día, todavía es demasiado habitual encontrar redes incorrectamente configuradas en lo que a seguridad se refiere y que permiten su libre acceso prácticamente a cualquiera que pase por la calle y que tenga un smartphone. Se ha popularizado y simplificado tanto el uso de teléfonos móviles y herramientas que usan predicción de claves y de algoritmos que, únicamente con conocer el ESSID de la red Wifi en cuestión y la MAC Address del punto de acceso (AP) es posible acceder de forma sencilla a las mismas...