Archivo de artículos :: Geoestrategia

VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN? (III)

02.01.2018 07:41

Presentamos el código de esta "aplicación". Para su más fácil comprensión lo hemos simplificado. Eso resultó en dos vulnerabilidades que no son las que pretendemos que el lector encuentre: el nombre de ususario y su contraseña están incrustados (hardcoded) en texto plano en un archivo .php....

VULNERABILIDADES DE APLICACIONES WEB: EJECUCIÓN DESPUÉS DE UNA REDIRECCIÓN

01.01.2018 23:11

Esta vulnerabilidad y el ataque asociado a ella son más conocidos por su nombre en inglés: Execution After Redirect. Resultan de un error de comprensión por parte del desarrollador de la semántica de la redirección. Los programadores suelen asumir que la aplicación web se detendrá después de...

VULNERABILIDADES DE APLICACIONES WEB: URL FUZZING

31.12.2017 21:19

El nombre en inglés de este ataque es de difícil traducción, pero podría definirse como detección por fuerza bruta de directorios y archivos no referenciados. El nombre alude al ataque, pero en última instancia su éxito final depende de una vulnerabilidad. Suele creerse que si un...

REINO UNIDO: FINALIZÓ "EL AÑO DEL PODER NAVAL"

31.12.2017 21:15

A principios del 2017 el Ministro de defensa británico, Michael Fallon, proclamó altisonantemente que el 2017 sería el año del comienzo de una nueva era en el poder naval británico. Ya en ese momento dijimos que nos parecía una expresión de buenos deseos. El tiempo nos está dando la...

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN DE CÓDIGO PHP EVALUADO DINÁMICAMENTE (II)

30.12.2017 15:43

Ya vimos la inyección de código evaluado dinámicamente y la inyección estática de código. Antes de seguir adelante, sin embargo, queremos insistir en que el uso de "eval()" no es el único punto posible de de inyección de código evaluado dinámicamente. Vimos, por ejemplo, que PHP permite...

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN ESTÁTICA DE CÓDIGO.

30.12.2017 06:18

En el lenguaje PHP la sentencia "include" incluye y evalúa el archivo especificado. En el manual de PHP leemos "Cuando un archivo es incluido, el intérprete abandona el modo PHP e ingresa al modo HTML al comienzo del archivo objetivo y se reanuda de nuevo al final. Por esta...

EMPRESAS POCO SERVICIALES IV - UN FINAL (MÁS O MENOS) ACEPTABLE

29.12.2017 16:12

Ayer Iberia cumplió con lo manifestado y por fin abonaron en la cuenta que aperturé el reembolso por un ticket de viaje que mi madre no utilizó porque no se presentó en el aeropuerto debido a que enfermó y tuvo que ser internada en el hospital; este trámite duró seis meses y al...

VULNERABILIDADES DE APLICACIONES WEB: INYECCIÓN DE CÓDIGO PHP EVALUADO DINÁMICAMENTE

29.12.2017 08:56

Si bien la inyección de código evaluado dinámicamente no es exclusiva del lenguaje PHP, usaremos el mismo para explicarla y ejemplificarla. En otro artículo sobre el tema veremos una vulnerabilidad asociada a la presente, la INYECCIÓN ESTÁTICA DE CÓDIGO. Damos un ejemplo de inyección...

VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN? (II)

29.12.2017 07:17

Para los lectores que no se percataron de cuál es el error publicamos el archivo atras.php tal cual estaba: <?php $usuario = $_POST['usuario']; $clave = $_POST['clave']; if (($usuario = 'administrador') && ($clave = 'quieroentrar123')){ ...

VULNERABILIDADES DE APLICACIONES WEB: ¿CUÁL ES EL ERROR EN ESTA APLICACIÓN?

28.12.2017 08:34

Veamos un ejemplo de otra vulnerabilidad web poco conocida: <html> <h1>Aplicación con un error</h1> <form action="atras.php" method="post"> Usuario: <input type="text" name="usuario" value=""> Clave: <input...