Práctica de inyección en Base de Datos tipo NoSQL - (NoSQLi)

Inyecciones en Base de Datos NoSQL, como MongoDB. #NoSQLi #Ciberseguridad #Pentest #Hacking

1. Introducción – NoSQLi   En este ejercicio vamos a explorar la posibilidad de realizar inyecciones en una base de datos NoSQL como MongoDB.   2. Montando el escenario de trabajo.   Se va a desarrollar una aplicación web en PHP con inicio de sesión que se conecte a una colección MongoDB donde se almacenan usuarios y contraseñas. Al ingresar credenciales, si coinciden con un registro en la base,…

Análisis y estudio de Inyección SQL Blind (Blind SQLi)

Estudio y análisis de vulnerabilidades tipo inyección Blind SLQ. Explotación de la vulnerabilidad de manera manual, semi-automatizada, y su solución. #SQLi #Desarrolloseguro #SQLMap #Burpsuite #Ciberseguridad #Hacking #Pentesting

1. Introducción – Blind SQLi   En esta práctica se va a tratar en profundidad el funcionamiento de vulnerabilidades tipo inyección Blind SQLi. Para ello se va a crear desde cero una web en PHP vulnerable a Blind SQLi, se va a explotar la vulnerabilidad de manera manual y semiautomatizada, y finalmente se va a solucionar mediante parches de código que saniticen correctamente los parámetros de…

Inteligencia Artificial (IA) en Ciberseguridad Defensiva (SIEM/SOC)

Inteligencia artificial y ciberseguridad defensiva. Qué es la IA, sus características, y su aplicación en ciberdefensa (SIEM/SOC).

Autores del artículo: Joaquín Gamiz Delgado: https://www.linkedin.com/in/joaquin-gamiz/ Juan M. R. : https://www.linkedin.com/in/jaymonsecuritydirector/ 1. Introducción.   Seguro que las letras “I” y “A” te suenan, o AI en inglés, si no te suenan, parece que no estás en la onda, porque significan inteligencia artificial. ¿Y qué es eso? En esta publicación, vamos a explorar qué es la IA, sus…

Primeros pasos Rubber Ducky Hack5

Primeros pasos con el Rubber Ducky de Hack5. #RubberDucky #BadUSB #Hacking #RedTeamOps #Hack5

1. Introducción. Si cuando estás a punto de desembalar el dispositivo, gadget, chisme electrónico Rubber Ducky de Hack5 recién comprado, te recorre por las tripas una sensación de emoción, entenderás muy bien cómo nos sentíamos teniendo el sobrecito azul del Rubber Ducky de Hak5 en nuestras manos. [Hago un inciso antes de seguir y para el que no lo sepa, el Rubber Ducky de Hack5 es un dispositivo…

Programación, Reversing y Explotación avanzada de Buffer Overflow (BoF) con Shellcode manual.

Programación, Reversing de un Buffer Overflow (BoF) en una aplicación tipo servidor, y explotación mediante la creación de un Shellcode manual. #BoF #Shellcode #Reversing #Ciberseguridad #Codigoseguro #clienteservidor

1. Creación de un programa con código vulnerable. La siguiente captura muestra la correcta compilación del código fuente de un programa sencillo tipo “servidor” que espera recibir datos de un cliente en el puerto 5000, los cuales se pasan a una función que contiene una vulnerabilidad de buffer overflow. Se compila en 32 bits para sistemas Windows, bajo el IDE “DevC++ 5.11” y compilador “GCC…

Realización de un Plan de Seguridad de Software

Realización de un Plan de Seguridad de Software basado en "Secure Software Development Framework (SSDF)". #ciberseguridad #software

1. Introducción al Plan de Seguridad del Software. En este trabajo se va a mostrar cómo realizar un Plan de Seguridad para una hipotética empresa desde el punto de vista del desarrollo del software seguro. (Seguridad en el Software). Para ello nos basaremos en el documento “Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software…

View On WordPress

Reversing de Buffer Overflow y Format String

Reversing de Buffer Overflow y Format String. Programación de las vulnerabilidades y explotación de estas. #reversing #ingenieriainversa #BoF #FormatString #ciberseguridad

1. Creación de un programa vulnerable a Buffer Overflow y reversing. A continuación, se muestra el código fuente en C/C++ del programa con los comentarios que detallan su operación. Se compila en 32 bits para sistemas Windows, bajo el IDE “DevC++ 5.11” y compilador “GCC v.4.9.2”. A continuación, se puede observar en la siguiente captura cómo se presenta el código desensamblado en IDA PRO. A…

View On WordPress

Reversing guiado de una aplicación de Windows

Reversing (ingenier��a inversa) guiado de una aplicación básica de Windows. #reversing #ciberseguridad #BoF #desarrolloseguro

1. Introducción al ejercicio de reversing. Para llevar a cabo este ejercicio de reversing, hemos optado por el uso de las herramientas “IDA PRO”, y “x32dbg”, ya que la aplicación a analizar fue compilada en 32 bits. Con “IDA PRO” se llevará a cabo un análisis estático del binario a analizar, mientras que con “x32dbg” se llevará a cabo el análisis dinámico. De esta manera se busca tener una mayor…

View On WordPress

Peritaje y análisis forense de un sistema Windows atacado.

Práctica real de un peritaje y análisis forense de un Sistema Operativo Windows atacado. #forensics #ciberseguridad #analisisforense #AFD #windows #pericial

1. Enunciado de la práctica. El director de una empresa de construcción requiere de tus servicios de analista forense a raíz de una intrusión informática durante la cual, según te explica, ha desaparecido información importante de su ordenador. El señor director afirma que hubo contacto con el autor de la intrusión en dos ocasiones distintas: Primer contacto: recibió un mensaje mientras su…

View On WordPress

CTF 1 Jaymon Security - Ethical Hacking

Solution to our CTF 1 exercise on ethical hacking, steganography, and reversing at basic and intermediate levels.

Solution: Here is the solution to the challenges of our CTF 1, which can be downloaded at the following link. https://jaymonsecurity.es/capture-the-flag Credits: Álvaro Sanz Baena. To learn ethical hacking, you can do the exercises we publish on our blog, participate in our CTF 2 where the solution is attached, or enroll in our ethical hacking courses. You can contact us through our contact…

View On WordPress

CTF 1 Jaymon Security - Ethical Hacking

Solución de nuestros retos CTF 1 de hacking ético por el Sr. D. Álvaro Sanz Baena.

Solución: A continuación, se muestra la solución a los retos de nuestro CTF 1 que pueden descargar en el siguiente enlace. https://jaymonsecurity.es/capture-the-flag Para aprender hacking ético pueden realizar las prácticas que publicamos en nuestro blog, realizar también nuestro CTF 2 donde se adjunta la solución del mismo, o matricularse en nuestros cursos de hacking ético. Pueden…

View On WordPress

Práctica real de un Análisis Forense Digital de memoria RAM de un sistema atacado.

Práctica real de un Análisis Forense Digital de memoria RAM de un sistema víctima atacado. Gestión de incidentes y metodologías. #analisis #forensics #ciberseguridad #databreach #ciberdefensa #incidentes #seguridad #hacking #pentesting

1. Estudio de mercado del software que se utiliza en la gestión de incidentes y sus principales funcionalidades. Tras realizar un pequeño estudio de mercado sobre el software de gestión de incidentes, sacamos la conclusión de que existen varias soluciones interesantes en el mercado, cada una con sus propias características y funcionalidades. Estos sistemas ayudan a las organizaciones a detectar,…

View On WordPress

Planificación y diseño de auditorías técnicas

Planificación y diseño de auditorías técnicas. Puntos esenciales para llevarlas a cabo con éxito. #auditoria #analisisriesgos #ciberseguridad #ciberdefensa

1. Definición del alcance de una auditoría. El alcance de una auditoría técnica se refiere a los límites específicos de lo que será examinado durante el proceso de auditoría. Define los sistemas, procesos, locaciones y períodos de tiempo que serán cubiertos durante la auditoría. En otras palabras, describe qué es lo que está “dentro” de la auditoría y qué es lo que está “fuera”. Determinar el…

View On WordPress

Planificación y diseño de auditorías técnicas

Planificación y diseño de auditorías técnicas. Puntos esenciales para llevarlas a cabo con éxito. #auditoria #analisisriesgos #ciberseguridad #ciberdefensa

1. Definición del alcance de una auditoría. El alcance de una auditoría técnica se refiere a los límites específicos de lo que será examinado durante el proceso de auditoría. Define los sistemas, procesos, locaciones y períodos de tiempo que serán cubiertos durante la auditoría. En otras palabras, describe qué es lo que está “dentro” de la auditoría y qué es lo que está “fuera”. Determinar el…

View On WordPress

Planificación y diseño de auditorías técnicas

Planificación y diseño de auditorías técnicas. Puntos esenciales para llevarlas a cabo con éxito.

1. Definición del alcance de una auditoría. El alcance de una auditoría técnica se refiere a los límites específicos de lo que será examinado durante el proceso de auditoría. Define los sistemas, procesos, locaciones y períodos de tiempo que serán cubiertos durante la auditoría. En otras palabras, describe qué es lo que está “dentro” de la auditoría y qué es lo que está “fuera”. Determinar el…

View On WordPress

Planning and Designing Technical Audits

Planning and designing Technical Audits: Essential points for successful execution.

1. Defining the scope of an audit. The scope of a technical audit refers to the specific boundaries of what will be examined during the audit process. It defines the systems, processes, locations, and time periods that will be covered during the audit. In other words, it describes what is “in” the audit and what is “out.” Determining the appropriate scope is crucial for the success of an audit,…

View On WordPress

Recursos para formación y sensibilización en Ciberseguridad

Se ofrecen a empresas y particulares recursos útiles para desarrollar programas de formación y sensibilización en ciberseguridad, tanto a nivel personal como para sus trabajadores. Phishing, BadUSB, Ransomware, etc.

1. Introducción. El propósito de este artículo es ofrecer a empresas y particulares una serie de recursos de ciberseguridad útiles para desarrollar programas de formación y sensibilización en ciberseguridad, tanto a nivel personal como para sus trabajadores. Se destacará el funcionamiento de los ciberataques más habituales, tales como el phishing, ataques de Ransomware, BadUSB, entre otros. 2.…

View On WordPress