Several months ago I happened to be looking at web.py‘s source code when I found an old-style (as in basic) remote code execution in the database module. Fortunately for most users of web.py, the database module is pretty simple and…
Several months ago I happened to be looking at web.py‘s source code when I found an old-style (as in basic) remote code execution in the database module. Fortunately for most users of web.py, the database module is pretty simple and…
This entry hopes to be a quick consideration about how one attack vector can at times dismantle the security of a different area of the application that was otherwise deemed secure. Truth is, security threats many times work like this,…
Note: There is an English version of this post here. Estoy seguro de que todos nosotros (pentesters) usamos bastante los cheat sheets sobre inyección SQL de pentestmonkey. Se han convertido en una referencia cuando se trata de realizar inyecciones SQL, y…
Nota: Hay una versión de esta entrada en Español aquí. I’m sure we all (pentesters) make extensive use of pentestmonkey’s SQL injection cheat sheets. They are touchstones when it comes down to SQL injection, and most of the time they…
Quería dedicar una entrada a elogiar la estupenda respuesta del equipo de desarrollo de OWASP ZAP, y que sirva de ejemplo de cómo el software libre no supone un handicap para las empresas. Si bien yo recomiendo siempre que, si…
Recientemente tuve que preparar unas presentaciones sobre XPath Injection (I,II) a modo de formación interna en la empresa, y me puse a buscar entornos en los que se pudieran practicar las técnicas que iba a contar. El caso es que…
Quería actualizar brevemente con la segunda parte de la presentación sobre XPath Injection (en inglés) que he dado en la empresa para los menos avezados en el tema. El título “avanzado” quizá sea decir mucho, pero tiene algunos trucos, incluyendo…
Hoy quería comentar un caso curioso que me he encontrado recientemente durante un pentest de una aplicación web. La aplicación en cuestión es muy grande, con muchísimos menús, submenús, cantidad de roles, checkboxes y dropdown menus que muestran diferentes páginas en…
Edit: He publicado una segunda parte de este tema aquí. Estos días he preparado una presentación introductoria (en inglés) sobre XPath Injection para dar como formación interna en la empresa, ya que hay gente nueva que no tiene mucha experiencia.…