viernes, 20 de abril de 2018

GBWhatsApp para Android ¿Es seguro?

Hoy os traigo mi primer post a C43S4RS hablando de una App alternativa a WhatsApp. 

Todos sabemos que WhatsApp tiene muy pocas opciones de personalización y privacidad, así que mucha gente busca Apps alternativas para poder sentirse a gusto cuando chatea con sus amigos. Si buscamos por Google, encontramos una App llamada GBWhatsApp (sustituta de WhatsApp Plus).
La gente que usa esta App, normalmente busca más personalización en su apariencia, ya que puedes modificar absolutamente todo, desde colores y formas de las fotos a tamaños de los archivos que se pueden enviar.

También tienen más opciones de privacidad como vemos en la siguiente imagen:

 

miércoles, 28 de marzo de 2018

Python, introducción a Scrapy - Parte 1.


¿Qué es Scrapy?

Image result for scrapy
Scrapy (https://scrapy.org/) es una librería de python (framework) "open source" que facilita la extracción de datos de las páginas web.


Esta librería es muy potente y se puede utilizar de forma rápida. También permite ampliar su funcionalidad y es portable por estar escrita en python, el cual se puede interpretar en sistemas Linux, Macintosh y Windows.

Aunque el principal objetivo de Scrapy es la extracción de datos de páginas web, este también se puede utilizar para extraer datos mediante el uso de API's, obtener la estructura de la web o simplemente como un extractor de propósito general.

viernes, 23 de febrero de 2018

SQL Injection para dummies (Tercera y última parte)

Buenas de nuevo.

En este tercer y último post sobre SQL Injection (por ahora) vamos a sacarle todo el jugo al asunto, y a la base de datos.

Una vez hemos hecho el reconocimiento sobre el sistema objetivo, vamos a intentar obtener los datos de más campos de la base de datos, no solamente los nombres y apellidos como obtuvimos con el “ ‘ or ‘1’=’1 “.

lunes, 19 de febrero de 2018

SQL Injection para dummies (Segunda parte)

Hola de nuevo.

Aquí tenemos la segunda entrada sobre SQL Injection. En la anterior nos quedamos en descubrir un parámetro vulnerable y el por qué de que esto sea así. Ahora vamos a pasar a jugar con la vulnerabilidad y a hacer cosas más vistosas.
Sabiendo la estructura exacta de la consulta SQL podríamos llevar a cabo ataques mucho más precisos, pero rara vez vamos a tener acceso al código a la hora de realizar un pentest. Por tanto, vamos a ir dando palos de ciego y viendo qué nos encontramos a medida que avanzamos con el ataque.

viernes, 16 de febrero de 2018

SQL Injection para dummies (Primera parte)

Buenas a todos, este es mi primer post en el blog tras el inicio de los C43S4RS. No sabía muy bien de qué hablaros puesto que mis compañeros del grupo tienen muy buenas ideas y proyectos para plasmar aquí, y por supuesto no quería pisarles ninguna, así que al final me he decidido a escribir sobre SQL Injection.

miércoles, 14 de febrero de 2018

Scripts de geolocalización en Python

Buenas a todos, hoy os voy a hablar de como podemos montarnos unos script de geolocalización haciendo uso de los datos de los usuarios que almacena Google en sus BBDD, si si, habéis leido bien, vamos a usar los datos de geolocalización que todos y cada uno de nosotros le damos a Google cada vez que llevamos nuestros teléfonos móviles en el bolsillo.

Introducción

Seguramente hayas utilizado Google Maps en alguna ocasión y te habrás dado cuenta que este funciona incluso sin tener activo el GPS, ¿cómo es posible que sepan nuestra posición sin GPS? pues muy sencillo, existen otras posibilidades para localizar a una persona sin hacer uso del GPS, estas son las torres de telefonía a las cuales se van conectando nuestros dispositivos o los puntos de acceso que tenemos a nuestro alrededor, los cuales es capaz de alcanzar nuestro teléfono.

No se si habéis leido alguna vez la Política de Privacidad de Google Location Services, seguramente que si. Os lo pongo para que sepáis que información cedemos a google por usar estos servicios:

"Si permite que un sitio Web obtenga su ubicación a través de este servicio, nosotros recogeremos la información en función de las características de su dispositivo: la información sobre los routers inalámbricos cerca de usted, el ID del móvil de las torres de telefonía más próximas, y la intensidad de tu wifi o la señal de celular. Esta información se utiliza para devolver una ubicación estimada al navegador que la solicita. Además en cada solicitud recopilamos también la dirección IP, el User-Agent y el ID único de su cliente. Esta información se utiliza para diferenciar las solicitudes, no para identificarlo."

lunes, 5 de febrero de 2018

Certified Ethical Hacker - CEH v9



Buenas a todos!!

Es un placer poder escribir mi primer post en este blog, el cual surge de un grupo de compañeros y profesionales de la seguridad y que se formó para participar en CTF's. Aunque debido al tiempo esto es lo que menos tiempo le podemos dedicar :P. No obstante, esto ya lo explicó Edu en el artículo https://c43s4rs.blogspot.com.es/2017/12/el-principio-de-los-c43s4rs.html ;)

Al grano!

Recientemente me examiné del CEH y publiqué una pequeña entrada en LinkedIn. Dicha entrada ha recibido varios comentarios y otros tantos por privado preguntandome detalles de esta certificación. 

lunes, 29 de enero de 2018

Python, ¿por qué es el lenguaje más usado en seguridad?

No quería acabar el mes de enero sin escribir mi primer post. Profesionalmente me considero SecDevOps, y aunque mi pasión es la parte SecOps, hoy vamos a hablar de Dev ;)

Tanto si tienes experiencia como si eres nuevo en el área de la seguridad, te estarás preguntando o te habrás preguntado porque Python es el lenguaje más utilizado en el campo de la seguridad. A continuación dejo la respuesta a esta pregunta.

miércoles, 10 de enero de 2018

El cifrado de Vigenère

Pues ya hemos arrancado el nuevo año, han pasado sus majestades los Reyes Magos y si tienes niños, como yo, seguro que lo habrás pasado en grande con ellos.

Todo el mundo habla de propósitos en el nuevo año etc... pero seguro que, y si estás leyendo este blog, es que te sigue interesando el tema de la seguridad informática y los CTF.

En mi entrada anterior hablaba del Cifrado Cesar, en esta ocasión os voy a explicar cómo funciona otro tipo de cifrado, el cifrado Vigenère, muy usado también en los CTF.

martes, 2 de enero de 2018