lunes, 27 de junio de 2016

SeCManario 2 - Junio 2016 Semana 4



Para una semana que ha estado marcada por el Brexit (hasta os dejo una reseña sobre el Brexit y como podría afectar en ciberseguridad) no tiene nada que envidiar a anteriores semanas, con el Secmanario de hoy tenéis material para leer y entreteneros durante un buen rato.

Security Onion
Es una distribución para analizar accesos de intrusos, podríamos decir que es un Honeypot con herramientas ya precompiladas para que puedas ponerlo en marcha de forma muy sencilla y poder ver que están haciendo los intrusos sobre el sistema.
https://security-onion-solutions.github.io/security-onion/

Writing Exploits for Win32 Systems from Scratch
En este articulo el grupo ncc nos muestra con tres practicas como hacer exploiting paso a paso y entendiendo su funcionamiento. Con scripts, las herramientas y capturas.
https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2016/june/writing-exploits-for-win32-systems-from-scratch/
 
Patch Analysis of CVE-2016-0189
Un detallado análisis sobre la vulnerabilidad parcheada en Mayo por Microsft en Internet Explorer Scripting Engine Memory Corruption Vulnerability (CVE-2016-0189). Con ejemplso de código y su explicación.
http://theori.io/research/cve-2016-0189
 
Game-Based Privacy Analysis of RFID Security Schemes for Confident Au-thentication in IoT
Junta RFID + NFC + IoT y la lista de maldades que te pueden venir a la cabeza es amplia. En este paper analizan la fusión de estas tecnologías y las posibilidades en seguridad para poder adoptarlas de la forma menos insegura posible.
https://eprint.iacr.org/2016/649

XSS persistence using JSONP and serviceWorkers 

No solo puedes sacar de interés de este post como hacer XSS persistentes sino que también resulta de gran interés conocer que es JSONP y los serviceWorkers para ello os recomiendo para entender JSONP su espacio Wiki https://en.wikipedia.org/wiki/JSONP pero también esta conversación sobre qué es y qué hacer en StackOverflow http://stackoverflow.com/questions/2067472/what-is-jsonp-all-about por otro lado para entender los serviceWorkers en el propio post hacen referencia a la web de developers de Mozilla donde lo explican con detalle https://developer.mozilla.org/en-US/docs/Web/API/Service_Worker_API/Using_Service_Workers 

https://c0nradsc0rner.wordpress.com/2016/06/17/xss-persistence-using-jsonp-and-serviceworkers/ 

Brexit v. EU: A Cybersecurity Perspective

¿Cómo no mencionar el tema candente de la semana?

https://securityledger.com/2016/06/brexit-a-cybersecurity-perspective-abi-research/


Exploit development on Python

El pregunto… y el resto le puso deberes para estudiar :)

http://reverseengineering.stackexchange.com/questions/4651/exploit-development-with-python

 

How secure is the hashing/salting/stretching process as described in this diagram?

Esta conversación es un buen ejemplo sobre como introducir seguridad desde las primeras fases de definición de requisitos software. Un pequeño diagrama sobre el que pregunta que vulnerabilidades pueden encontrar… y le propusieron varias.

http://security.stackexchange.com/questions/127940/how-secure-is-the-hashing-salting-stretching-process-as-described-in-this-diagra

 

BSides Cleveland 2016 Videos
Videos del evento
https://www.irongeek.com/i.php?page=videos%2Fbsidescleveland2016%2Fmainlist&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+IrongeeksSecuritySite+%28Irongeek%27s+Security+Site%29
 

Hack Any Android Phone with DroidJack (Beginner’s Guide)

Aunque solo sea por el trabajo que han realizado en este post con la captura de imágenes merece la pena darle una vuelta para ver cómo funciona DroidJack y, en general, los RAT de Android.

http://www.hackingarticles.in/hack-android-phone-droidjack-beginners-guide/

 

Si conoces algún artículo/blog/post/paper/videos que crees que tendrían que estar en  los Secmanarios, no dudes en enviármelo.
Enjoy.
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Esperando tu comentario...

Suscribirse a: Enviar comentarios (Atom)