-
Hola a todos. Escenario: Cuando estamos trabajando con IIS en nuestro ambiente de desarrollo todo es perfecto y funciona a las mil maravillas nuestros proyectos, pero cuando vamos a pasar a producción en maquinas nuevas, recién montadas y por supuesto no por nosotros, nos encontramos con muchas...
-
Últimamente tengo poco tiempo para postear, mucho menos de lo que debería seguramente, y entre tarera y tarea a veces surgen temas como el que voy a contaros que quizás sean de ayuda para otras personas, eso espero por lo menos. En casi toda la documentación y ejemplos de WIF se tocan los RP pasivos...
-
Aquí os dejo un video que he grabado sobre como securizar nuestras aplicaciones ASP.NET eliminando algunas cabeceras http. Espero que os guste!!!
-
Ya se que puede parecer un poco cansino y repetitivo este tipo de post. ¿Quién no sabe a día de hoy el significado de este atributo en el web.config de una aplicación web verdad? Pues parece ser que mucha gente lo desconoce y desconoce también las implicaciones que...
-
Vamos a listar las noticias en orden cronológico, para intentar entender la vulnerabilidad: Miercoles 15-Sep, Juliano Rizzo anunciaba a Clarín se iba a presentar una vulnerabilidad de ASP.NET durante la conferencia de seguridad Ekoparty . Nota: Uno de cada cuatro sitios web está...
-
[Actualización 28/09/2010] FINAL Actualización de seguridad Microsoft Security Bulletin MS10-070 – Important Asi que a descargar…. Primeramente mediante Microsoft Download Center (forma manual), o puedes (si quieres) esperar unos días y estará entre nosotros por Windows Update /Windows Server Update...
-
Los que trabajamos con Sharepoint, sobre todo si empezamos con el 2003, quién más o quién menos hemos acudido alguna vez a algún webpart de codeplex, o de los grandes Carlos Segura o Gustavo Vélez. En muchas ocasiones, para que el webpart funcionase, teníamos que cambiar el Trust level del web.config...
-
Pues sí amigos, aquella mañana del día 18 de marzo de este año 2010, no tardaron en dejarse caer los comentarios en la lista interna del grupo de usuarios Second NUG exclamando: ¡no se ve la web!, ¡la web está en blanco!, pues mirando vía FTP hay...
-
Si observamos las respuestas enviadas al cliente que solicita una página de un sitio web creado con el framework MVC, veremos que, además de los encabezados HTTP estándar, el sistema añade información sobre las versiones de ASP.NET y del propio framework MVC que estamos...
-
En mi anterior post hablaba sobre el funcionamiento de las cookies en los navegadores y de cómo podíamos usar una extensión estándar ( HttpOnly ) para intentar impedir que las cookies sean accesibles desde el lado cliente y sólo se puedan manejar desde el servidor....
-
Hace unos días un colega me preguntaba sobre consideraciones o recomendaciones de seguridad a la hora de diseñar una aplicación. Aprovechando unos minutos de tiempo libre que tengo, me animo a plasmar un par de recomendaciones sobre la validación de datos, uno de los puntos...
-
Uno de los pilares de la seguridad es la confidencialidad , que en pocas palabras significa asegurar que solo la o las personas correctas (que tienen privilegios sobre ella) accedan a la información. Una práctica que he visto un par de veces en algunos colegas (bueno, casi todos la hemos...
-
CAT.NET es un Add-in para Visual Studio, qué también podemos utilizar a través de la línea de comandos, para analizar el código de nuestras aplicaciones y detectar vulnerabilidades ya conocidas como Cross Site Scripting, SQL Injection, Process Command Injection, File...
-
este link lo publique en mi twitter pero me pareció tan importante que me atrevo a ponerlo tbm aquí… el articulo habla sobre una vulnerabilidad en JSON, y de como es posible “ afectar sistemas” vía este “ problemita”, como dijo Jersson - en una platica vía MSN- “ es demasiado fácil”, sinceramente, ya...
-
Hola, compañeros de geeks. Bueno quisiera dejar unos tips para aquellas personas que deseen probar, conocer y demás acerca de esta técnica, como mencione en mi post anterior, esta vulnerabilidad va mas ligada a la forma en que los desarrolladores hacen su trabajo. Tip 1. Primero dejar el link de un vídeo...
-
Nos contaba el otro día el vecino de blog Gustavo Velez como su sitio, que corre sobre Sharepoint, ha sido atacado . Todos los que gestionamos algún tipo de comunidad online sabemos que Internet se ha convertido en un lugar peligroso donde un motón de delicuentes, amparándose en el anonimato, se dedican...
-
Esto no paso ayer.. paso hace ya varios días atrás... estaba en la oficina trabajando ( aunque muchos aseguran que no... )... y estábamos integrando una aplicación php con una asp.net ... y teníamos que sacar reportes desde asp.net a datos alojados en Mysql ... y tbm sacar datos de php desde una db Sql...
-
Siguiendo con el infierno de los Iframes, hoy intentaremos utilizar el control Login de ASP.NET desde la página de un cliente que utiliza nuestra aplicación embebida. Lo primero que podemos pensar, es en que medida nos puede llegar a afectar trabajar con un iframe con el sistema de login que utilizamos...
-
Antes de empezar, se que este post puede ser vetado, por muchos motivos, solo quiero esperar que lo tomen de por el lado amable..., aquí muestro mis ideas y mi percepción al respecto, agradecería me dieran sus comentarios sobre esto, ni intento atacar a alguna persona en especial , la razón de este post...
-
Lo que se a dado en llamar la Web 2.0 es sin duda el camino a una experiencia más rica para los usuarios de aplicaciones web, pero según Shreeraj Shah en su artículo ' Top 10 Web 2.0 Attack Vectors' , tambien es un nuevo caldo de cultivo para nuevas vulnerabilidades y vectores...