Tottix Blog

Hola a todos! El dia de hoy me gustaria compartir con ustedes una pequeña nota acerca de como funciona una inyeccion de SQL. Generalmente este tipo de vulnerabilidad afecta a aplicaciones web, sin embargo no esta limitada a solo web, sino a cualquier aplicacion que tenga transacciones con una base de datos. Tambien es una de las vulnerabilidades mas comunes encontradas dentro de sistemas, y esta dentro del Top 10 de OWASP . Es recomendable tener fundamentos en programacion web (php, asp, jsp, etc) y bases de datos/SQL para poder entender esta entrada. Comencemos con este ejemplo, La siguiente imagen denota una aplicacion web que esta conectada a una base de datos para obtener una consistencia en sus datos, como muchas aplicacion web existen el dia de hoy. En este ejemplo, el servidor web MXWEBDEV01 tiene una conexion con el servidor de base de datos MXSQLDEV01. vamos tambien asumir que esta conexion esta hecha en PHP y el sistema gestor de bases de datos es MariaD...

Hola querido amigo(a)! espero que te encuentres muy bien. El dia de hoy decidi hacer este tutorial Burpsuite. Burpsuite es una herramienta muy versatil y eficaz para realizar pruebas de seguridad (Pentest) con el fin de encontrar vulnerabilidads en aplicaciones Web. Burpsuite, al momento de escribir esta nota, le pertenece a la compania PortSwigger, y es probablemente la herramienta mas popular e indispensable para probar la seguridad de un aplicacion web. PortSwigger ofrece diferentes ediciones de Burpsuite: Enterprise, Professional and Community. La edicion community es la version gratis de Burpsuite, pero es la que tiene menos funcionalidades integradas. En este tutorial nos vamos a enfocar en la version Community con el navegador Firefox en Kali Linux. Sin embargo, si estas pensando en dedicarte a Ciberseguridad y/o Pentesting profesionalmente, te recomiendo invertir en la licencia de Burpsuite Professional. Afortunadamente Burpsuite ...

hola a todos! Si estas leyendo este articulo es porque seguramente estas preparandote para tomar el examen para OffSec Certified Professional . Por si no lo sabes esta certificacion es muy popular en el area de ciber seguridad, y una de las mas reconocidas entre los profesionales dentro de esta disciplina. El Examen es completamente practico; consta de 3 maquinas llamadas "standalone" (o "separadas") y un grupo de 3 maquinas unidas a un dominio de Microsoft Active Directory. Tu mision es utilizar tecnicas de pentesting para obtener las preciadas "flags" (o banderas) de nivel usuario (local.txt), superusuario (root.txt) y de dominio (root.txt). Cada una de estas "flags" tiene el valor de 10 puntos, mientras que la "flag" del dominio vale 40 puntos. Para mas informacion acerca del examen puedes consultar el sitio de Offsec: "https://help.offsec.com/hc/en-us/articles/4412170923924". Hace un par de semanas tuve la opot...