Sitio personal de Ariel M. Liguori De Gottig

Friday, May 22

SQL Injection: Lo necesario y un poquito más...

No, todavía no he subido el papper que estoy elaborando sobre SQLi simplemente por eso, porque lo "estoy" elaborando, casi lo termino pero aun queda más info por poner y realmente no quiero que falte nada :), es por eso que en este post quiero dejar aquella información que me ha servido para interiorizarme con el tema e inclusive para profundizarme en aspectos muy peculiares de él.

Las biblias de SQLi:
Web applications disassembly with ODBC error messages - D. Litchfield
Advanced SQL Injection in SQL Server  - Chris Anley
(more) advanced SQL Injection - Chris Anley
Técnicas de SQLi: Un repaso - Hernán Racciatti


Info más que interesante:
Blind SQL Injection: Are your web-apps Vulnerable?  - Kevin Spett
Lateral SQL Injection - David Litchfield
Cursor Injection - Dabid Litchfield
Time-Based Blind SQL Injection using Heavy Querys - Chema-Parada-...
Ldap Injection - Chema-Parada
Serialized SQL Injection - Chema Alonso:

Remote File Downloading in WebApps with Blind SQL Injection - Chema Alonso


Links mandatorios/interesantes:
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/
http://elladodelmal.blogspot.com
http://www.google.com

Herramientas:
BSQL
Ldap Injector
Marathon Tool
SQL Ninja
Absinthe
SFX-SQLi

Countermeasures:
Proximamente...

Saludos, Leer más...

Thursday, May 21

Explotando el Eslabón Más Débil - Base64 Security

Copio info por si a alguno le interesa:

----

El próximo Jueves 4 de Junio voy a dar una charla en ADACSI, el capítulo local de ISACA, sobre Client Side Attacks.

Esta es la primera de una serie de charlas que dictará BASE4 Security S.A. durante este año, como forma de concientizar a las organizaciones sobre los riesgos de seguridad a los que esta expuesto hoy en día.

TITULO: Explotando el Eslabón Más Débil

DESCRIPCION:
Los atacantes evolucionan a un ritmo mucho mayor al que lo hacen nuestras propias defensas. Mientras que nosotros nos hemos focalizado en segurizar el perímetro de nuestra red, ellos ya hace tiempo que se encuentran atacando a los usuarios.

Durante el transcurso de esta charla, veremos porque los criminales informáticos han decidido atacar a los usuarios, y realizaremos varias demostraciones prácticas para ilustrar de que forma están explotando el eslabón más débil de nuestra arquitectura de seguridad.

FECHA: Jueves 04 de junio de 2009

HORARIO: De 9.30 a 11.00 Hs.

LUGAR: Edificio SIGEN - Av. Corrientes 389 Piso 1- CABA

Para inscripción e informes contactarse con ADACSI de 11.00 a 18.00hs, al teléfono (54-11) 4317-2855 o al 4312-8111 int. 2918, o por correo electrónico: info@adacsi.org.ar

LA ENTRADA ES LIBRE Y GRATUITA
Leer más...

Call For Workshop Proposals Financial Cryptography and Data Security 2010

Les paso la info por si alguno esta interesado

Call For Workshop Proposals Financial Cryptography and Data Security 2010   
Tenerife, Canary Islands, Spain, 25-29 January 2010
http://fc10.ifca.ai


CALL FOR WORKSHOP PROPOSALS
Proposals for workshops to be held at FC 2010 are solicited.
A workshop can be full day or half day in length.
Workshop proposals should include:
(i) a title,
(ii) a call for papers,
(iii) a brief summary and justification -- including how it would fit
into the greater FC scope,
(iv) a (tentative) Program Committee and its Chair,
(v) one-paragraph bios for key organizers, and
(vi) the expected (or previous - if workshop has been held in previous
years) number of submissions, participants and acceptance rates.
Workshop proposals should be sent fc10workshops@ifca.ai.

IMPORTANT DATES
Workshop Submission: June 15, 2009
Workshop Notification: June 30, 2009

ORGANIZERS
General Chair: Pino Caballero-Gil, University of La Laguna
Local Chair: Candelaria Hernandez-Goya, University of La Laguna
Proceedings Chair: Reza Curtmola, New Jersey Institute of Technology
Poster Chair: Peter Williams, Stony Brook University

LOCAL COMMITTEE
Luisa Arranz Chacon, Alcatel Espana, S.A.
Candido Caballero Gil, University of La Laguna
Felix Herrera Priano, University of La Laguna
Belen Melian Batista, University of La Laguna
Jezabel Molina Gil, University of La Laguna
Jose Moreno Perez, University of La Laguna
Marcos Moreno Vega, University of La Laguna
Alberto Peinado Dominguez, University of Malaga
Alexis Quesada Arencibia, University of Las Palmas de Gran Canaria
Jorge Ramio Aguirre, Polytechnic University of Madrid
Victoria Reyes Sanchez, University of La Laguna

The Financial Cryptography and Data Security Conference is organized  by
The International Financial Cryptography Association (IFCA).

Leer más...

Tuesday, May 19

$%&!!## ?? Understandig Trace & Ping Outputs

No, nuestro equipo no nos esta insultado al mostrarnos mensajes raros como !A ó !U al realizar un ping o un traceroute, todo lo contrario, nos esta dando información vital para comprender que es lo que esta sucediendo. Para los que estan acostumbrados sabrán que entre los ams comunes encontramos:

U -- Destination Host Unreachable (en ping solamente, con traceroute significa Port unreachable)
A -- Administratively prohibited (Solo en traceroute)

H -- Host Unreachable (Solo en traceroute)

M -- Could Not Fragment (Solo en ping)


Bueno, hay muchos más, pero no es la intención de este post detallar cada uno, para ello tomamos el papper de cisco que pueden ver aqui y que posee los detalles completos.


Saludos,
Leer más...

Monday, May 18

BotNet Hunter.-

BotNet Hunter es un soft de monitoreo pasivo de la red que se encarga de detectar patrones de comunicación entre maquinas infectadas y nuestra red. Actualmente el auge de las botnets ha crecido exponencialmente y esta herramienta se esta convirtiendo en una buena solución. Ademas es ampliamente utilizada para el análisis (académico digamos) de la forma de detección y acción de botnets.

Se pueden bajar el software de la página oficial del proyecto.
También pueden consulta el foro del proyecto.
Leer más...

Sunday, May 17

Una mirada dentro de las Botnets.-

"Una mirada dentro de las botnets", ese es el titulo que lleva el trabajo realizado por Paul Barford y Vinod Yegneswaran. Realmente es un papper muy completo, sintentico y muy interesante. Recomendable al 100%, les dejo el link al PDF: http://pages.cs.wisc.edu/~pb/botnets_final.pdf

Saludos,
AL Leer más...