Buenas a todos, como cada semana os traemos nuestros enlaces de la semana :)
Lunes 4 de Julio
- El lunes iniciamos la semana con Data Exfiltration Toolkit (DET): Extrayendo información corporativa. Cuando un auditor tiene una prueba de Data Exfiltration puede ser una tarea realmente divertida. En algunos procesos de hacking ético se solicita al proveedor que se intente sacar información del interior de una organización con el objetivo de comprobar que los sistemas implantados en la empresa para evitar la fuga de información por parte de un empleado funcionan. Lógicamente, el atacante siempre tendrá cierta ventaja, ya que hoy en día existen diversos canales y vías para extraer información, no pensemos solamente en el mundo físico con pendrives. La encapsulación de información dentro de protocolos comunes, o el uso de canales encubiertos pueden ser las vías más utilizadas para extraer información de una organización [...]
Miércoles 6 de Julio
- El miércoles os trajimos la segunda entrega sobre HSTS: #HSTS. ¿Qué es y cómo lo implanto en mi empresa? Parte 2, con más ejemplos sobre cómo implantarlo de una forma práctica, y un interesante artículo titulado "Upgrading HTTPS in mid-air: An empirical study of strict transport security and key pinning" [...]
Viernes 8 de Julio
- El viernes os trajimos un nuevo artículo sobre HSTS: De la teoría a la práctica. El HSTS, HTTP Strict Transport Security, es un mecanismo de seguridad web que permite asegurar que las conexiones que se realizan desde un navegador a un sitio web se realizan a través de TLS/SSL. En otras palabras, cuando un usuario quiere acceder a un sitio web cómo puede ser Gmail o Facebook, éste no introduce en la barra de direcciones URL “https://gmail.com” o “https://facebook.com”, sino que, generalmente el usuario introduce gmail.com o facebook.com. De esto se aprovechaba en el pasado el ataque SSL Strip diseñado por el famoso hacker Moxie Marlinspike [...]
No hay comentarios:
Publicar un comentario