La gente de Sucuri Malware Labs (http://labs.sucuri.net) ha desarrollado una aplicación de lo más curiosa, URLFind (http://urlfind.org) que permite obtener diferentes direcciones de páginas Web en función de diversos criterios de búsqueda como, por ejemplo, el proveedor del hosting dónde residen las páginas; el CMS (Content Management System) con el que se ha creado dichas páginas, es decir, Wordpress, Joomla, Drupal, etc.; o el tipo de servidor que da soporte a las páginas Web (Apache, IIS, etc.). A pesar de que todo esto se puede hacer también directamente con Google, o incluso con Shodan, el tenerlo todo agrupado y poder distinguir entre versiones con una sola petición resulta muy útil e interesante....
Analizando el WAF de Imperva (SecureSphere)
Recientemente en Hacktimes hemos podido analizar y probar uno de los Firewalls de Aplicaciones Web (WAF) más reconocidos del mercado: SecureSphere de Imperva. Le hemos sometido a todo tipo de pruebas, hemos revisado la seguridad del propio equipo, analizado el nivel de detección y de falsos positivos así como falsos negativos (lo que no detecta), trasteado con todas las funcionalidades que ofrece el dispositivo, etc. Muy divertido a la vez que interesante y lo que viene a continuación son los principales resultados y las conclusiones más importantes....
Análisis de las páginas Web Gob.es
Si hace poco en Hacktimes.com se analizaban los certificados SSL/TLS de diferentes entidades bancarias españolas, hoy le toca el turno a la seguridad de las páginas de las que dispone el Gobierno de España que, desgraciadamente, tan de moda está en la actualidad. Utilizando herramientas para obtener todo tipo de información relativa a las páginas Web del dominio GOB.ES tales como theHarvester o extensiones para Google Chrome como Recx Security Analyzer se ha revisado la seguridad de 150 páginas Web como, por ejemplo, Agencia tributaria (www.agenciatributaria.gob.es), la página del Palacio de la Moncloa (www.lamoncloa.gob.es), las sedes y subsedes de los diferentes Ministerios, etc...
Comparativa Scanners de Seguridad Web 2012
Desde hace poco más de tres años, la gente de "Security Tools Benchmarking" (http://sectooladdict.blogspot.co.il/) publica por estas fechas su comparativa sobre los más importantes analizadores de seguridad (scanners) de aplicaciones Web. Se revisa y comprueba el comportamiento de las 60 herramientas más conocidas ante diferentes pruebas como son la precisión en la detección de vulnerabilidades del tipo Inyección SQL, vulnerabilidades de Cross Site Scripting (XSS), los métodos para validar formularios de autenticación, la facilidad de uso y la potencia de las distintas aplicaciones, su precio. etc. 10 baterías de pruebas diferentes con las que analizar el funcionamiento de todas las herramientas y ver el resultado de las mismas para elaborar un top ten que incluye, tanto herramientas comerciales y de pago, como con licencia GNU....
Auditoria de seguridad en Liferay Portal
En múltiples ocasiones ya hemos hablado en Hacktimes.com de CMSs (Content Management Systems) y la verdad es que hasta ahora no habíamos tenido la oportunidad de trabajar con Liferay, un conocido CMS de código abierto, creado en el año 2000 y basado en Java que nada tiene que ver con Drupal, Wordpress, Joomla o cualquier otro gestor de contenidos. Liferay Portal, con más de 4 millones de descargas y alrededor de 500.000 instalaciones en todo el mundo, es uno de los principales CMSs que existen actualmente...
