Archivos del blog

Remote Code Execution in Web.py framework

Posted on 08/11/2014 by Adrián — Deja un comentario

Several months ago I happened to be looking at web.py‘s source code when I found an old-style (as in basic) remote code execution in the database module. Fortunately for most users of web.py, the database module is pretty simple and…

Tagged with: hacking, python, rce, web hacking, web.py
Publicado en hacking, Programming, web hacking

XSS killed the anti-CSRF star

Posted on 23/01/2013 by Adrián — Deja un comentario

This entry hopes to be a quick consideration about how one attack vector can at times dismantle the security of a different area of the application that was otherwise deemed secure. Truth is, security threats many times work like this,…

Tagged with: CSRF, DOM XSS, web hacking, XSS
Publicado en web hacking

DB2 SQL injection cheat sheet

Posted on 21/05/2012 by Adrián — Deja un comentario

Note: There is an English version of this post here. Estoy seguro de que todos nosotros (pentesters) usamos bastante los cheat sheets sobre inyección SQL de pentestmonkey. Se han convertido en una referencia cuando se trata de realizar inyecciones SQL, y…

Tagged with: cheat sheets, db2, db2 sql injection cheat sheet, sql injection, web hacking
Publicado en seguridad, web hacking

DB2 SQL injection cheat sheet

Posted on 20/05/2012 by Adrián — 2 comentarios

Nota: Hay una versión de esta entrada en Español aquí. I’m sure we all (pentesters) make extensive use of pentestmonkey’s SQL injection cheat sheets. They are touchstones when it comes down to SQL injection, and most of the time they…

Tagged with: cheat sheets, db2, db2 sql injection cheat sheet, sql injection, web hacking
Publicado en seguridad, web hacking

Un 10 para OWASP ZAP (apología del software libre)

Posted on 12/05/2012 by Adrián — 3 comentarios

Quería dedicar una entrada a elogiar la estupenda respuesta del equipo de desarrollo de OWASP ZAP, y que sirva de ejemplo de cómo el software libre no supone un handicap para las empresas. Si bien yo recomiendo siempre que, si…

Tagged with: hacking, herramientas, OWASP, software libre, web hacking, ZAP
Publicado en herramientas, web hacking

SQLol y XMLmao: Web hacking Testbeds

Posted on 08/05/2012 by Adrián — 2 comentarios

Recientemente tuve que preparar unas presentaciones sobre XPath Injection (I,II) a modo de formación interna en la empresa, y me puse a buscar entornos en los que se pudieran practicar las técnicas que iba a contar. El caso es que…

Tagged with: Entornos de prueba, sql injection, SQLol, XMLmao, xpath injection
Publicado en hacking, seguridad, web hacking

Advanced XPath Injection

Posted on 10/04/2012 by Adrián — 2 comentarios

Quería actualizar brevemente con la segunda parte de la presentación sobre XPath Injection (en inglés) que he dado en la empresa para los menos avezados en el tema. El título “avanzado” quizá sea decir mucho, pero tiene algunos trucos, incluyendo…

Tagged with: blind xpath injection, web hacking, xpath, xpath injection
Publicado en hacking, web hacking

I'd say again the same thing about Unicode being confusing and terrifying, but... twitter.com/0xdade/status/… 2 months ago
RT @hankgreen: Uuuiggghhhh....all data centers in the world combined are responsible for about 0.3% of carbon emissions and that is fixed b… 2 months ago
Will Unicode ever stop being surprising and unpredictable? eng.getwisdom.io/hacking-github… 2 months ago
RT @business: Maybe it’s something in the gazpacho or paella, as Spain just surpassed Italy to become the world’s healthiest country https:… 3 months ago

Follow @adrianbravon

	Adrián en How Effective is ASLR on Linux…
	Robert C. Seacord en How Effective is ASLR on Linux…
	Funky Chicken en How Effective is ASLR on Linux…