Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
871
)
- ► septiembre (Total: 17 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
-
▼
septiembre
(Total:
38
)
- Microsoft presenta el proyecto Springfield: Fuzzin...
- Apple debilita aposta el cifrado de los backups en...
- 3 de cada 4 sitios hackeados utilizan WordPress
- Botnet formada por 145.000 cámaras de seguridad es...
- Un nuevo parche de seguridad de OpenSSL introduce ...
- Akamai deja de dar protección a KrebsOnSecurity de...
- Encuentra paquetes vulnerables en Arch Linux con A...
- Más de 859 mil dispositivos Cisco afectados por el...
- Yahoo! podría confirmar su hackeo de 500 millones ...
- Conferencia Navaja Negra comienza el 29 de septiem...
- Sandisk presenta un prototipo de tarjeta SD de 1 TB
- Conferencias gratuitas OverDrive en Girona 23-25 n...
- Ataques al navegador del usuario usando BeEF
- Escáner de vulnerabilidades web Nikto
- HP actualizó sus impresoras para que dejaran de fu...
- ¿Así se saltó el FBI la protección del iPhone del ...
- El nuevo ransomware que cifra el disco duro comple...
- Disponibles Shellter VI [6.6] y Wireshark 2.2.0
- Google pagará 200.000 dólares al que consiga hacke...
- Dos adolescentes de Isarel acusados de ganar $600....
- La gran mayoría de los usuarios ignora las alertas...
- Android siempre está rastreando tu posición median...
- Vulnerabilidad crítica en MySQL afecta ramas 5.5, ...
- Herramientas de red HE.NET para Android y iOS
- Encontrado nuevo y sofisticado malware para Mac qu...
- Tarjeta de red USB modificada extrae credenciales ...
- Disponible WordPress 4.6.1 – Actualización de segu...
- Búsqueda inversa de imágenes con Google
- Obligan a Orange a anular una factura de 1.275€ a ...
- L0phtCrack y Nmap se actualizan, nuevas versiones
- Adobe seguirá actualizando el plugin de Flash en L...
- El foro de Brazzers hackeado: filtran 800 mil cuen...
- Koodous: VirusTotal (antivirus social) para Android
- OVH sufre problemas de conexión con Telefónica por...
- Disponible OpenShot 2.1 con importantes mejoras en...
- El hackeo a Dropbox del 2012 es real
- Kali Linux 2016.2 ya está disponible para descargar
- El hacker rumano Guccifer condenado a 52 meses de ...
-
▼
septiembre
(Total:
38
)
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
394
)
privacidad
(
360
)
google
(
339
)
ransomware
(
332
)
vulnerabilidad
(
290
)
Malware
(
256
)
android
(
238
)
Windows
(
233
)
cve
(
228
)
tutorial
(
223
)
manual
(
208
)
software
(
201
)
hardware
(
188
)
linux
(
123
)
twitter
(
115
)
ddos
(
91
)
WhatsApp
(
85
)
Wifi
(
84
)
cifrado
(
76
)
herramientas
(
75
)
hacking
(
73
)
app
(
65
)
sysadmin
(
62
)
Networking
(
52
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
49
)
adobe
(
43
)
firmware
(
41
)
hack
(
40
)
office
(
39
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
programación
(
25
)
apache
(
22
)
exploit
(
22
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Autopsy es una herramienta de código abierto que se utiliza para realizar operaciones forenses en la imagen de disco de las evidencias. Aq...
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La ciberseguridad es un tema a tratar muy importante, pues cada vez tenemos más dispositivos electrónicos que pueden ser vulnerados, además ...
Microsoft presenta el proyecto Springfield: Fuzzing de aplicaciones basado en la IA
jueves, 29 de septiembre de 2016
|
Publicado por
el-brujo
|
Editar entrada
Microsoft ha presentado lo que pretende ser una de las herramientas de búsqueda de bugs
más sofisticadas del mercado. En un intento de ayudar a los
desarrolladores a encontrar vulnerabilidades en sus aplicaciones de
Windows y Office, la empresa presentó el Proyecto Springfield, un servicio basado en la nube que realiza pruebas de "White Box Fuzzing".
Fuzzing es una técnica de pruebas de software, a menudo automatizado o semiautomatizado, que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de ordenador. Entonces se monitorizan las excepciones tales como caídas, aserciones de código erróneas, o para encontrar potenciales filtraciones de memoria. La técnica de fuzzing se utiliza normalmente para descubrir problemas de seguridad en software o sistemas de ordenadores. Es una forma de testeo aleatorio que se ha usado para comprobar tanto hardware como software.
Según explican, "Utiliza inteligencia artificial para realizar una serie de preguntas 'Qué pasaría si' y se toman decisiones sofisticadas sobre lo que podría llevar a una vulnerabilidad o error que involucre la seguridad del código. Cada vez que se ejecuta, se recogen más datos para perfeccionar las áreas más críticas y de esta manera Springfield podría ayudar a encontrar vulnerabilidades que herramientas de fuzzing tradicional podrían pasar por alto".
Springfield se basa en la tecnología utilizada por Microsoft internamente para probar sus productos desde el 2000, es fácil de usar e ideal para aquellas personas con menos formación técnica.
La herramienta fue apodada "el detector de errores del millón de dólares" porque ha ayudado ha Microsoft a encontrar vulnerabilidades graves que de lo contrario hubieran costado mucho dinero para hallarlas y solucionarlas.
Al ofrecer esta herramienta a la comunidad de desarrolladores, Microsoft espera ayudará a mejorar la seguridad de todos los productos.
Fuentes:
http://blog.segu-info.com.ar/2016/09/proyecto-springfield-fuzzing-de.html
http://www.welivesecurity.com/la-es/2012/10/31/detectando-vulnerabilidades-softwar-mediante-fuzzing/
¿Qué es el Fuzzing?
Fuzzing es una técnica de pruebas de software, a menudo automatizado o semiautomatizado, que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de ordenador. Entonces se monitorizan las excepciones tales como caídas, aserciones de código erróneas, o para encontrar potenciales filtraciones de memoria. La técnica de fuzzing se utiliza normalmente para descubrir problemas de seguridad en software o sistemas de ordenadores. Es una forma de testeo aleatorio que se ha usado para comprobar tanto hardware como software.
A la herramienta que permite llevar adelante un fuzz testing se la conoce, vulgarmente, como Fuzzer. El Fuzzer puede ser dividido en tres componentes principales: generador, mecanismo de entrega y sistema de monitoreo.
- Generador: Es el responsable de concebir las diferentes cadenas de texto para el testeo sobre las entradas. Habitualmente, el generador permite crear entradas acordes al sistema al cuál se está sometiendo a pruebas.
- Mecanismo de entrega: Es el responsable de tomar las entradas que entrega el propio generador y presentarlo para el sistema que se está sometiendo a prueba. Es importante destacar que este tipo de mecanismo está fuertemente ligado al sistema de prueba, ya que los mecanismos de entrada varían considerablemente donde, por ejemplo, en un caso puede existir entradas a través de un archivo y, en otros casos, las entradas pueden ser a través de la interacción del usuario.
- Sistema de monitoreo: Es el encargado de monitorear la reacción del sistema de prueba a partir de las diferentes entradas. Su función principal es la búsqueda de errores y en el impacto que estos pueden tener sobre el propio sistema de prueba. A partir de los errores es posible determinar cuál de esos errores son críticos y pueden ser explotados.
Asimismo, existen diferentes formas de llevar a cabo las pruebas sobre el sistema. En este caso entran en juego tres conceptos:
- Black-box: el proceso es totalmente opaco, es decir, solo se observan las respuestas del sistema de prueba a partir de determinados tipos de entradas. Este tipo de análisis se lo utiliza ampliamente sobre aplicaciones web.
- White-box testing: el proceso es diferente. Se toma en cuenta otro tipo de información, como por ejemplo, el código fuente del software sometido a pruebas. En este caso, generalmente, el proceso de testeo es mucho más eficiente ya que se cuenta con información adicional por lo que los resultados serán más confiables.
- Grey-box testing: cubre ambos espectros. Esta alternativa, habitualmente, descarta el acceso al código fuente, pero utiliza otros mecanismos más allá del Black-box testing tales cómo el análisis reverso o la utilización de un debugger.
Según explican, "Utiliza inteligencia artificial para realizar una serie de preguntas 'Qué pasaría si' y se toman decisiones sofisticadas sobre lo que podría llevar a una vulnerabilidad o error que involucre la seguridad del código. Cada vez que se ejecuta, se recogen más datos para perfeccionar las áreas más críticas y de esta manera Springfield podría ayudar a encontrar vulnerabilidades que herramientas de fuzzing tradicional podrían pasar por alto".
Springfield se basa en la tecnología utilizada por Microsoft internamente para probar sus productos desde el 2000, es fácil de usar e ideal para aquellas personas con menos formación técnica.
La herramienta fue apodada "el detector de errores del millón de dólares" porque ha ayudado ha Microsoft a encontrar vulnerabilidades graves que de lo contrario hubieran costado mucho dinero para hallarlas y solucionarlas.
Al ofrecer esta herramienta a la comunidad de desarrolladores, Microsoft espera ayudará a mejorar la seguridad de todos los productos.
Fuentes:
http://blog.segu-info.com.ar/2016/09/proyecto-springfield-fuzzing-de.html
http://www.welivesecurity.com/la-es/2012/10/31/detectando-vulnerabilidades-softwar-mediante-fuzzing/
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.