Tras unas horas probando nombres que no estuviesen ya cogidos en Blogspot, queda inaugurado por fin el blog.
Llevaba ya un tiempo dándole vueltas a la idea de crear un blog para recoger las pruebas que realizo en materias de seguridad, así como las pruebas y experimentos que suelo llevar a cabo al respecto. La razón es tanto el llevar un diario en el que recoger toda esa información como el simple hecho de devolver a la comunidad un poco de ese conocimiento que todos robamos de aquí y allá.
¿Por qué seguridad? De todas las materias que toca la informática, esta rama es una de las menos valoradas, a la par que seguramente una de las más importantes. La seguridad de la información y las comunicaciones debe ser una prioridad tanto a nivel de usuario como empresarial, y no es sino en estos últimos meses y años cuando se ha hecho un eco real de los ataques que sufre la industria y, en extensión, los usuarios.
Cuando empiezas a formarte en materias de seguridad es cuando te das cuenta de las consecuencias de no hacer bien las cosas. Cuando comienzas a explotar un buffer overflow de un sistema conocido, te acuerdas de lo fácil que es que te salga un error similar programando en C. Cuando ejecutas un man in the middle, te acuerdas de aquella vez que programaste una aplicación cliente-servidor para una tontería y enviabas credeciales en plano.
Y te acojonas, porque tú lo corregiste, pero alguien puede no hacerlo. Y has visto que es bastante fácil de explotar.
En lo sucesivo intentaré publicar de forma más o menos regular pruebas de concepto, experimentos y otro tipo de entradas y tutoriales relacionados con la seguridad, el hacking (¡ético, hombre!) y el pentesting. Todos los comentarios son bienvenidos, sobre todo si ves que he cometido algún pecado capital en el código, en un concepto o similar (es probable que llegue a ocurrir).
Creo que pronto empezaré a redactar una PoC sobre SQL Injection, bastante sencillita, pero que sirve para ver un ejemplo muy sencillo de inyección, pudiendo ver tanto el código HTML de un formulario web víctima como la ejecución de la consulta vulnerable en PHP en el servidor. Espero que os guste y que os sirva para aprender.
Un saludo a todos!!
hartek
No hay comentarios:
Publicar un comentario