A principios de año obtuve el CISSP en el primer intento. Este es otro de los muchos artículos que existen sobre cómo aprobar el examen y obtener una de las certificaciones más prestigiosas de (ICS)2. En base a mi experiencia leer esta clase de artículos es bastante útil, sobre todo los días antes de realizar el … Leer más
0. Rooting Android & Jailbreaking iOS Android Te recomiendo utilizar un dispositivo Android para probar la aplicación. Si no puedes conseguir uno, puedes usar una VM de Android, pero yo encuentro más sencillo configurar un dispositivo Android. Hay muchas guías en Internet para rootear un dispositivo Android. Para esta guía, he rooteado un Xiaomi Redmi … Leer más
En las últimas semanas ha habido una revolución en el mundo IT. Todo el mundo ha estado preocupado, ha habido miles de meetings para discutirlo, se han creado cientos de memes al respecto. Y es que ha salido a la luz una de las vulnerabilidades con mayor factor de exposición de los últimos años: CVE-2021-44228, … Leer más
Have you ever used the whois command? In this post I’ll talk about how to use this command to get information, as well as give you details about the whois protocol and explain some of the vulnerabilities I’ve found in this protocol.
Uno de los primeros posts de esta web fue una introducción a la plataforma que me ha acompañado desde el inicio de mi carrera en el hacking. Se trata de HackTheBox, una plataforma de pentesting en la que miles de intrépidos hackers compiten tratando de hacerse con el control del máximo número de máquinas posible. … Leer más
Shodan es un motor de búsqueda para encontrar servicios concretos como webcams, sistemas SCADA, linksys… Su funcionamiento es simple pero efectivo: escanea todo internet y usa la información que le devuelven los banners de los dispositivos para descubrir la versión del software, el modelo del dispositivo, etc. Shodan es especialmente útil para la investigación de … Leer más
Hoy te traigo un tipo de SQL Injection muy interesante, y que no es muy conocido. Es una variación de Blind SQL Injection.Si todavía no estás muy puesto con las inyecciones SQL, te recomiendo que visites primero este post. También deberías echarle un ojo a las noSQL injections de las bases de datos no relacionales. … Leer más
Este post es la continuación de otro que publiqué hace unos meses. Si todavía no lo has leído, te recomiendo echarle un vistazo. Ya sabes que es un Cross-Site Scripting, sabes qué tipos hay, qué payloads probar, en qué campos fijarte cuando estés analizando una web, cómo evadir los filtros de los WAFs… Ahora voy a … Leer más
Tras los posts sobre SQL Injection y NoSQL Injection, hoy te traigo la XSS Injection. Este ataque consiste en inyectar código malicioso en páginas web benignas. El atacante inyecta código desde el lado del cliente, de forma que por una mala configuración de la página web, este código se muestre a otros usuarios Este tipo … Leer más
En anteriores posts he hablado sobre las inyecciones SQL. Suele ser el primer ejemplo sobre seguridad informática que se le pone a un estudiante: » ´ or 1 = 1 — a « Sin embargo, esto solo sirve para servidores que utilicen bases de datos relacionales, como son MySQL, MSSQL, Oracle. En la última década han aparecido … Leer más