viernes, 29 de agosto de 2008

PHP - Auditoría del código fuente

Acostumbrado a entrar en páginas como SecurityFocus o Milw0rm, ya me canso de siempre ver lo mismo, cada segundo sale una vulnerabilidad nueva que tiene que ver con CMS, o demás en lenguaje PHP. Ya sea porque trabajan muchos programadores y aunque intenten programar de forma segura se les escape algo, o porque ni se preocupen de la seguridad, siempre hay vulnerabilidades.

Por lo que, para los vagos, o los pobres que no puedan contratar una empresa especializada, hay bastante buen código que te hace un análisis bastante eficaz.

Os dejo dos herramientas:

Skavenger:
Esta herramienta busca fallos en php, aunque modificándola puede buscar en más tipo de lenguajes mediante el uso de expresiones regulares más que nada.

DAphpscan:
Funciona mediante expresiones regulares y es bastante más completa que la anterior, busca entre otras cosas: RCE, RFI, LFI, XSS, Inyecciones SQL, CSRF, etc...Todo basandose en funciones que suelen conllevar algun peligro y que no sn filtradas adecuadamente, o no están declaradas correctamente.


Yo personalmente no las probe con código, pero con sólo ver como es el código de ambas, sobre todo de la segunda, se ve que puede detectar fácilmente fallos.
Os dejo un sitio donde hablan de la auditoría en PHP

lunes, 18 de agosto de 2008

Yashira y CracksLatinos cumplen años

Yashira
Cumple 5 años en la red, el 17 de agosto del 2003, apareció yashira como una comunidad de retos de hacking, programación, ingeniería inversa y demás cosas, y aunque antes era hackyashira. com, ahora quedó como yashira.org

En una comunidad que poco a poco aguanta con los años y con ayuda de los admins, y usuarios, han ido enviando retos, algunos de gran nivel donde aprender bastante.

Poco a poco se ha ido haciendo una gran comunidad y de las primeras web en retos de informática en español.

Además hoy mismo he tenido la suerte que me han nombrado admin del sitio, así que ahora tendré más trabajo aún ejej, cuando necesitéis algo ya sabéis, podéis consultar.

CracksLatinos
Cumple 8 años en la red, el 18 de agosto del 2000, es el lugar por excelencia de ingeniería inversa en castellano y bastante importante a nivel internacional, apareció en la epoca que había muchas páginas de crackers y grupos creo. Bastante buena como ya dije en otro post.

viernes, 1 de agosto de 2008

El trabajo de Ricardo Narvaja y el grupo CrackLatinos

Esta vez voy a hablar de la ingeniería inversa, una lista que es CrackLatinos y un autor que es Ricardo Narvaja, cuyo trabajo te da bastantes conocimientos sobre la ingeniería inversa, junto a todas las colaboraciones que se hacen a la lista de Cracklatinos por tantos autores que me extendería demasiado.

La "Introducción al Cracking con ollydbg desde cero" hecha por Ricardo Narvaja. Además de cursos actuales como el de python y otros posteriores que hará de exploiting y todos ellos de bastante buena calidad, le hacen importante en el ámbito de la ingeniería inversa.

Además te contesta siempre que puede en la lista de forma rapidísima, te ayuda y colabora bastante lo que le hace un gran tío.

Para aprender, organiza concursos de distinta temática, entre ellos:
  • Para quitar distintas protecciones que pueda traer un programa, unpacking...
  • Sacar serials a programas hechos para la labor(crackmes)
  • Exploiting, para entender como se pueden explotar los fallos en software.
Son bastante recomendables para aprender. Además en la lista, los usuarios normalmente suelen aportar con tutoriales que hacen mostrando lo que aprenden y como se hace. Un gran nivel para lo único que hace falta es tener Internet, y registrarse en la lista y cuando se pueda aportar, por supuesto.

Tenéis todo el trabajo de CrackLatinos y Ricardo en su FTP, se puede entrar mediante http://www.ricardonarvaja.info, allí se encuentran los concursos, aportaciones de la gente y obras otras cosas que podréis descubrir.
Podrás encontrar hasta un índice de las aportaciones, protecciones que trae y las técnicas antidebugging entre otras cosas.
Así que, en definitiva, pasaros por la lista o por la web si os interesa aprender sobre ingeniería inversa.
Aprovecho para saludar a la gente de allí: dapaf, boken, ricnar, apuromafo, solid, NCR, gera, karmany, etc, etc.