¿Qué nos puede decir el análisis del tiempo de respuesta del servidor?

proces logowania użytkownika

Asumiendo que el servidor toma acciones basadas en una condición específica, analicemos la situación en la que el servidor realiza cálculos dependiendo del resultado de esta condición y luego transmite la respuesta al usuario. En ambos casos, es decir, tanto si se realizan los cálculos como si no, el servidor… Continue reading

¿La IA quitará empleos en ciberseguridad? Todo lo contrario: ¡Ejemplo de XSS en Zoomin!

ai vs security

En el contexto del creciente papel de la inteligencia artificial (IA) en diversos campos, la pregunta sobre su impacto en el mercado laboral de ciberseguridad se vuelve cada vez más relevante. Por un lado, la automatización y los sistemas inteligentes pueden acelerar y mejorar significativamente los procesos relacionados con la… Continue reading

La biometría es más segura: cómo el malware está robando a los usuarios de Android

AndroidAtakOverlayBank

Esta entrada fue inspirada por la excelente presentación de Jan Seredynski en THS 2023. La ciberseguridad no es una cuestión binaria: no existen soluciones que garanticen un 100% de seguridad. En realidad, se trata más de evaluar los riesgos y elegir soluciones que sean menos susceptibles a los ataques. Un… Continue reading

Romper un PDF con contraseña en unos segundos – PZU y su protección ilusoria. NN Investment Partners también repite estas malas prácticas.

łamanie pdf z hasłem

La ilusión de seguridad es peor que la conciencia de su falta, porque conduce a decisiones basadas en premisas erróneas. La información proporcionada por instituciones de confianza pública, como «Protegemos sus datos personales», a menudo crea esta ilusión de seguridad. Estudiemos dos ejemplos de esto utilizando archivos PDF con contraseñas…. Continue reading

Guía de certificados de ciberseguridad con ranking

certyfikaty z cyberbezpieczeństwaa

Los certificados en ciberseguridad se están convirtiendo en una parte indispensable de la carrera de cualquier especialista en TI. En varios foros, muchos principiantes hacen preguntas similares: «¿Es una buena elección el certificado A o B?». Aunque los certificados no garantizan empleo del mismo modo que el dinero no garantiza… Continue reading

Datos Ocultos en Archivos – Cómo los Metadatos Pueden Ser Útiles en las Pruebas de Penetración

ukryta miniaturka w metadanych

Muchos formatos de archivos, además de presentar contenido, como JPEG que muestra una foto tomada, pueden contener metadatos. Esta información oculta puede ser invaluable durante las investigaciones OSINT y las pruebas de penetración. Veamos algunos casos y herramientas útiles para extraer esta información aparentemente oculta. No Limpiar los Metadatos de… Continue reading

Algunas estadísticas de la obra de Pentester 2018-2020

He estado recopilando estadísticas de mi investigación de seguridad informática durante los últimos años. Decidí compartirlos un poco. Aquí usted puede encontrar un informe de prueba de penetración de la muestra – informe. En un gran número de entrevistas con probadores de penetración, escucho la pregunta: "¿Ha mejorado la seguridad… Continue reading

Tplmap – identificar y utilizar el motor de plantillas

Al ejecutar una prueba de penetración de una página web que genera contenido dinámico mediante plantillas con valores proporcionados por el usuario, puede encontrar una vulnerabilidad de inyección de plantillas del lado del servidor. La identificación manual del motor de plantillas con el que está tratando y la posterior explotación… Continue reading