Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
abril
(Total:
31
)
- Falsas guias de juegos engañan a 2 millones de usu...
- Tamper Chrome: el TamperData de Firefox para Chrome
- Vulnerabilidad crítica en módulo de Drupal
- Shadow Brokers: Framework Fuzzbunch y los exploits...
- Disponible Kali Linux Edición 2017.1
- FlexiSpy, empresa que vende software espía es hack...
- Récord sentencia delitos informáticos: 27 años de ...
- Botnets justicieras: Hajime y BrickerBot; la antít...
- IDS/IPS Suricata
- Demandan a Bose por espiar la música con sus auric...
- Apps fraudulentas en Google Play
- Múltiples vulnerabilidades Smart-Wifi de routers L...
- jSQL Injection: herramienta automatizada en Java p...
- El ayuntamiento de Rialp también es víctima de un ...
- Protocolo CLDAP permite realizar ataques DDoS con ...
- Desarticulado un grupo de cibercriminales por come...
- Pwnbox: herramientas de hacking en Docker
- Nintendo pagará por encontrar fallos de seguridad ...
- AMD Ryzen aplasta a un Mac Pro en pruebas de rendi...
- Vulnerabilidad crítica en todas las versiones de O...
- Detenido en Barcelona ruso acusado de interferir e...
- Fabricante de puertas de garaje bloquea las de un ...
- Tizen de Samsung es un coladero: 40 vulnerabilidad...
- La tarjeta gráfica más potente: Titan XP con 3.840...
- Hackean el servidor de HazteOir y amenazan con pub...
- Encuesta lenguajes de programación preferidos en S...
- Actualiza tu iPhone e iPad para evitar ser hackead...
- Vulnerabilidad en Samba permite acceder a ficheros...
- Skimmers en cajeros automáticos para robarte dinero
- La memoria RAM DDR5 ofrecerá el doble de velocidad...
- Escaners de vulnerabilidades para WordPress y Joomla
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En la Operación Torpedo el FBI utilizó Metasploit Framework , un software totalmente libre construido originalmente sobre lenguaje Perl y p...
-
Recientemente, 2K Games ha sufrido un ataque dentro de su plataforma de soporte técnico. Dicha plataforma, fue hackeada y utilizada para...
Escaners de vulnerabilidades para WordPress y Joomla
sábado, 1 de abril de 2017
|
Publicado por
el-brujo
|
Editar entrada
Cuando pensamos en la facilidad que WordPress proporciona a la hora de gestionar los múltiples materiales generados y la diversidad de plugins existentes,
tiene sentido que se haya transformado en uno de los CMS (por sus
siglas en inglés Content Management System) más multitudinarios. En consecuencia, es muy recomendable auditar la seguridad
de tu blog si utiliza WordPress, para poder determinar si es vulnerable
o no. Recuerda proteger y securizar correctamente la instalación de WordPress de manera correcta.
Joomlavs es un scanner de vulnerabilidades para sitios webs Joomla con una estética similar a la de WPScan y, de la misma manera, esta desarrollado en Ruby. Permite scannear componentes, módulos, templates o todo. También permite el uso de proxys.
Kali trae Joomscan pero siempre me resulto lento e inútil. En mi opinión Kali tiene una deuda con el pentesting dirigido a objetivos Joomla. Joomlavs se presenta como un perfecto remedio a este inconveniente.
La solución para estos problemas de seguridad es la instalación de la versión más reciente del Drupal, en este caso la versión 8.2.7
Como medida preventiva se recomienda tener siempre actualizado todo el software a las últimas versiones.
Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, comprobar que se ha realizado correctamente y que podemos recuperarla.
Otra precaución que deberemos tomar, es la de asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.
Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.
La actualización de seguridad soluciona dos vulnerabilidades críticas:
Fuentes:
http://blog.segu-info.com.ar/2017/03/joomlavs-scanner-de-vulnerabilidad-para.html
https://www.welivesecurity.com/la-es/2017/03/29/auditar-seguridad-sitio-wpscan/
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-critica-827-webs-drupal
WPScan: escaner de vulnerabilidades para WordPress
En consecuencia, es muy recomendable auditar la seguridad
de tu blog si utiliza WordPress, para poder determinar si es vulnerable
o no. A tal fin existen varias herramientas comerciales y gratuitas;
hoy te mostraremos cómo usar una sumamente recomendable, llamada WPScan.
Tanto en Kali Linux como en algunas otras distribuciones alternativas, como BackBox Linux, Pentoo, SamuraiWTF o BlackArch, esta aplicación viene preinstalada. Lamentablemente para los usuarios de Microsoft, no es soportada en Windows,
aunque siempre está la opción de ejecutarla desde una máquina virtual.
De todos modos, si tienes problemas con la instalación en otra
distribución puedes revisar los pre-requisitos desde su repositorio de Github.
Joomlavs: escaner de vulnerabilidades para Joomla
Joomlavs es un scanner de vulnerabilidades para sitios webs Joomla con una estética similar a la de WPScan y, de la misma manera, esta desarrollado en Ruby. Permite scannear componentes, módulos, templates o todo. También permite el uso de proxys.
Kali trae Joomscan pero siempre me resulto lento e inútil. En mi opinión Kali tiene una deuda con el pentesting dirigido a objetivos Joomla. Joomlavs se presenta como un perfecto remedio a este inconveniente.
git clone https://github.com/rastating/joomlavs.git cd joomlavs sudo gem install bundler && bundle install
Actualización crítica 8.2.7 para webs en Drupal
Drupal
ha publicado una actualización de seguridad para las versiones 8.x. que
soluciona varias vulnerabilidades del gestor de contenidos, una de
ellas crítica y dos moderadas. Los gestores de contenidos instalados en
servidores web «sirven» nuestras páginas a los usuarios que las
solicitan a través de sus navegadores. Estas vulnerabilidades podrían
permitir que el atacante acceda a la configuración de
Como medida preventiva se recomienda tener siempre actualizado todo el software a las últimas versiones.
Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, comprobar que se ha realizado correctamente y que podemos recuperarla.
Otra precaución que deberemos tomar, es la de asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.
Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.
- Un fallo crítico en el módulo editor. Al añadir un fichero privado a través del editor de texto configurado (como CKEditor), el editor no chequea correctamente los accesos al fichero que se adjunta, ocasionando una evasión en el control de acceso.
- Un fallo del tipo «falsificación de petición en sitios cruzados» o CSRF (del inglés Cross Site Request Forgery) en algunas paginas de acceso para el administrador de la web. Esto podría permitir que un atacante deshabilitara bloques o secciones de la web. Este fallo es de criticidad moderada porque los usuarios deben conocer el ID del bloque. Un CSRF es un ataque donde podemos ser engañados para acceder o enviar información a una web en la que estemos en ese momento autenticados. Este ataque puede tener como resultado una acción según nuestros permisos en la página web desconocida y no controlada por nosotros pero provocada por el atacante.
- Un fallo que permite la ejecución remota de código: una librería de terceros incluida en Drupal 8 es vulnerable a este tipo de ataques. Tu web puede ser vulnerable si tu versión de Drupal es anterior a la 8.2.2. Para evitarlo elimina el directorio /vendor/phpunit.
Fuentes:
http://blog.segu-info.com.ar/2017/03/joomlavs-scanner-de-vulnerabilidad-para.html
https://www.welivesecurity.com/la-es/2017/03/29/auditar-seguridad-sitio-wpscan/
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/actualizacion-critica-827-webs-drupal
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.