martes, 14 de julio de 2020

SQLi y “Cleans URLs”

Cada vez es más común ver URL menos sofisticadas, entendibles para el usuario, llamadas Search Engine Optimization Friendly URL (SEO-Friendly URL). Si recordamos un tiempo atrás, cuando alguien nos enviaba una URL prácticamente podíamos reconocer el nombre del dominio.

        https://myforo.com/path/doit&post=172356&comment=213

Ahora rara vez encontramos ese tipo de enlace con parámetros en la petición GET, sino que lo encontramos de una forma más entendible y bonita, incluso el propio enlace contiene el título de la página.

        https://mytsite.com/path/172356/213/my-post-title

Este cambio en las URL se debe a los motores de búsqueda y el posicionamiento de las páginas webs, un estudio demostró que cuanto más corta es la URL y más descriptiva del contenido del post es, Google te muestra en mejor posición.

lunes, 29 de junio de 2020

Análisis PCI Contactless Payments on COTS (CPoC™)

El pasado 4 de diciembre de 2019 el PCI SSC publicó en el repositorio de su página web (https://www.pcisecuritystandards.org/document_library) tres nuevos documentos relativos al programa CPoC - Contactless Payments on COTS (Commercial Off-The-ShelfDispositivos de caja cerrada):



jueves, 25 de junio de 2020

Kerberos: El perro de tres cabezas

Un entorno muy común que nos encontramos durante la realización de pentest internos es encontrarnos un Directorio Activo (DA). Es un servicio de directorio para su uso en un entorno de Windows Server. Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red.

Active Directory (AD) o Directorio Activo (DA) utiliza un protocolo llamado Kerberos para la autenticación de los clientes en la red.

lunes, 22 de junio de 2020

Posibles sanciones en caso de incumplir PCI DSS

Nota preliminar

Todo el contenido del artículo se menciona con fines meramente informativos. Las versiones de los documentos referenciados, y los requerimientos exigidos por las marcas de pago, pueden haber cambiado desde la última fecha de revisión del presente artículo. Adicionalmente, hay información que no puede hacerse pública, por lo que pueden existir requerimientos y/o sanciones adicionales a las explicadas en el mismo. Es por este motivo que se recomienda contactar con la entidad financiera prestadora de servicios, con el fin de obtener información vinculante y actualizada.

miércoles, 17 de junio de 2020

Novedades y actualizaciones de PCI DSS 4.0

El pasado día 29 de mayo, el PCI SSC actualizó en su blog la información relativa a la versión 4.0 del estándar PCI DSS.

La actualización de la información coincide con la revisión de los comentarios generados a raíz del ‘Request for Comments’ (RFC) que tuvo lugar entre octubre y diciembre del año pasado. Según indican, aún se encuentran revisando dichos comentarios. Como ya adelantaron el año pasado, habrá 2 rondas de RFC para la versión 4.0 del estándar, estando planeada la segunda a partir de septiembre u octubre del presente año.

De esta forma, también aprovechan para actualizar las fechas de lanzamiento de la versión 4 del estándar, planificándola para mitad del año 2021. Aunque la primera fecha que se indicó fue finales de 2020, ya se dijo que sería el mejor de los escenarios.

Conoce los últimos movimientos de nuestro equipo de ciberinteligencia

El pasado jueves 4 de junio el portal de RTVE publicó un artículo sobre las últimas filtraciones de Anonymous en relación con el homicidio del ciudadano afroamericano George Floyd en EEUU y desde el servicio Verifica de RTVE se pusieron en contacto con Vicente Aguilera para solicitar su participación dando su opinión al respecto. El artículo se puede leer en el siguiente enlace:
https://amp.rtve.es/noticias/20200604/sabemos-filtraciones-anonymous/2015525.shtml

lunes, 15 de junio de 2020

Crónica ISMS Cyber Security & Data Protection Online Forum


Fuente: ISMS Forum


Este año hemos tenido la oportunidad de poder asistir a la primera edición del Foro Digital Cyber Security & Data Protection Online Forum, organizado por ISMS Forum. Carlos A. Saiz, Vicepresidente de la organización, dio inicio a la jornada dando la bienvenida a todos los asistentes y anunciando la presentación de las dos nuevas guías elaboradas por diferentes grupos de trabajo de ISMS Forum: la Guía para la gestión de crisis por ciberincidente en la cadena de suministro y la Guía de Buenas prácticas en Auditorías RGPD.