viernes, 6 de diciembre de 2013

Taller en Sevilla WordCamp 2013 (14 y 15 de Diciembre)

¡Saludos!

  Otras de las cosas que se ha estado gestando estos meses mientras el blog estaba abandonado ha sido la participación en la Sevilla WordCamp 2013 que se realizará en los días 14 y 15 de diciembre (fin de semana, no tienes excusa para no ir).

   Aunque el evento no está destinado a la seguridad, más bien enfocado hacia el desarrollo y mundo alrededor de WordPress, vamos a estar ahí con un taller de hora y media sobre intrusión a nivel web. No vamos a descubrir las Américas, pero espero que sirva para que los desarrolladores que utilizan esta plataforma tomen conciencia de la importancia del hardening y las buenas prácticas.

  El taller lo vamos a impartir @JorgeWebsec de Quantika14 y quien escribe estas líneas. A parte, Jorge va a dar una charla el sábado (día antes del taller, a ver si así pica la curiosidad a los asistentes :P) sobre auditorias, fortificación y demás hierbas.

  El evento es en la Escuela de Organización Industrial de Sevilla (mapa y forma para llegar sin morir en el intento). La programación está sujeta a modificaciones, pero podeis consultarla aquí.

  Como ya adelanté por twitter, voy a estar una semana en Sevilla para trabajar en varios proyectos interesantes de los cuales espero poder hablaros pronto.


¡Nos vemos en la WordCamp!


5 0verl0ad Labs: diciembre 2013 ¡Saludos!   Otras de las cosas que se ha estado gestando estos meses mientras el blog estaba abandonado ha sido la participación en la Se...

martes, 3 de diciembre de 2013

Proyecto Wordpressa

¡Saludos!

    Me alegra poder informaros que ya se ha publicado la colaboración que hice en el proyecto Wordpressa ,  donde estuve documentando las vulnerabilidades reportadas en una serie de plugins con un objetivo didáctico.

   De forma esquemática se explica grosso modo el funcionamiento del plugin, comentando algunas partes del código fuente relevantes, y explicando dónde es vulnerable, porqué lo es, cómo lo explotaríamos, y cómo lo solucionamos.

  Intenté escribirlo de forma algo técnica, pero no excesiva, para que pueda ayudar a cualquier usuario que tenga unos mínimos conocimientos de PHP, desarolle sus propios plugins para su wordpress personal, le pueda ser útil. Por ejemplo, en el caso de las inyecciones SQL basadas en tiempo, se explica porqué es vulnerable, y cómo se explotaría, pero sin entrar en detalle, dando pinceladas.

 Dentro de las vulnerabilidades que se documentan tenemos:

-SQL injection
-CSRF
-XSS
-Arbitrary File Upload


   El proyecto Wordpressa de @Quantika14 se compone de otros elementos muy interesantes, como un pequeño laboratorio basado en Wordpress y que posee una serie de plugins vulnerables para poder practicar y aprender más sobre cómo se realizan auditorias a esta plataforma.  Además de los que ya posee, podeis agregarle los plugins que he documentado, y así practicar y aprender.


   Además, sé de buena tinta, que pronto nos van a ofrecer una herramienta genial para la seguridad de Wordpress y hasta aquí puedo leer =)  además de más contenidos.


Sólo me resta darle las gracias a @JorgeWebsec por invitarme a colaborar, y a la organización de Navaja Negra por hacer un congreso tan diferente  que me haya permitido conocer a gente tan genial como Jorge.

¡Espero que le echeis un vistazo a todo!

5 0verl0ad Labs: diciembre 2013 ¡Saludos!     Me alegra poder informaros que ya se ha publicado la colaboración que hice en el proyecto Wordpressa  ,  donde estuve docume...
< >