"72% de las organizaciones siguen siendo vulnerables a Log4j" Tenable
https://blog.segu-info.com.ar/2022/12/72-de-las-organizaciones-siguen-siendo.html
https://blog.segu-info.com.ar/2022/12/72-de-las-organizaciones-siguen-siendo.html
VMSA-2021-0025.5
CVSSv3 Range: 7.1
Issue Date: 2021-11-10
Updated On: 2022-12-08
CVE(s): CVE-2021-22048
Synopsis:
VMware vCenter Server updates address a privilege escalation vulnerability (CVE-2021-22048)
Impacted Products
VMware vCenter Server (vCenter Server)
VMware Cloud Foundation (Cloud Foundation)
Introduction
A privilege escalation vulnerability in VMware Center Server was privately reported to VMware. Workarounds are available to remediate this vulnerability in the affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
CVSSv3 Range: 7.1
Issue Date: 2021-11-10
Updated On: 2022-12-08
CVE(s): CVE-2021-22048
Synopsis:
VMware vCenter Server updates address a privilege escalation vulnerability (CVE-2021-22048)
Impacted Products
VMware vCenter Server (vCenter Server)
VMware Cloud Foundation (Cloud Foundation)
Introduction
A privilege escalation vulnerability in VMware Center Server was privately reported to VMware. Workarounds are available to remediate this vulnerability in the affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
▶️ BlackMagic ransomware y el negocio del robo de datos
Un nuevo grupo de ransomware llamado BackMagic ha sido identificado durante ejercicios rutinarios de threat-hunting por CRIL (Cyble Research and Intelligence Labs)
https://unaaldia.hispasec.com/2022/12/blackmagic-ransomware-y-el-negocio-del-robo-de-datos.html
Un nuevo grupo de ransomware llamado BackMagic ha sido identificado durante ejercicios rutinarios de threat-hunting por CRIL (Cyble Research and Intelligence Labs)
https://unaaldia.hispasec.com/2022/12/blackmagic-ransomware-y-el-negocio-del-robo-de-datos.html
Una al Día
BlackMagic ransomware y el negocio del robo de datos
Un nuevo grupo de ransomware llamado BackMagic ha sido identificado durante ejercicios rutinarios de threat-hunting por CRIL.
📃 "10 series y películas sobre privacidad, tecnología y ciberseguridad" https://derechodelared.com/series-peliculas-sobre-privacidad-tecnologia-ciberseguridad/
Derecho de la Red
10 series y películas sobre privacidad, tecnología y ciberseguridad.
Series y películas sobre privacidad, tecnología y ciberseguridad con diferentes puntos de vista y enfoques, que puedes ver en cualquier momento.
Abuso de SQL basado en JSON malformados para saltear WAF
https://blog.segu-info.com.ar/2022/12/abuso-de-sql-basado-en-json-malformados.html
https://blog.segu-info.com.ar/2022/12/abuso-de-sql-basado-en-json-malformados.html
Forwarded from Online HacKing
Please open Telegram to view this post
VIEW IN TELEGRAM
Web Application Firewall fingerprinting tool
https://reconshell.com/web-application-firewall-fingerprinting-tool/
https://reconshell.com/web-application-firewall-fingerprinting-tool/
Bypass del WAF de Akamai a través de Spring Boot https://unaaldia.hispasec.com/2022/12/bypass-del-waf-de-akamai-a-traves-de-spring-boot.html?utm_source=rss&utm_medium=rss&utm_campaign=bypass-del-waf-de-akamai-a-traves-de-spring-boot
Una al Día
Bypass del WAF de Akamai a través de Spring Boot
Un investigador ha revelado la técnica de bypass que utilizó para evadir el WAF (Web Application Firewall) de Akamai.
Cómo integrar Burp y ZAP para Hacking y pentesting web https://thehackerway.com/2022/12/14/como-integrar-burp-y-zap-para-hacking-web/
⚙️ R4Ven, una herramienta para rastrear la ubicación IP y GPS
R4Ven es una herramienta que nos permite poder capturar la ubicación, IP e información del dispositivo de una persona.
https://derechodelared.com/r4ven-ubicacion-ip-gps/
R4Ven es una herramienta que nos permite poder capturar la ubicación, IP e información del dispositivo de una persona.
https://derechodelared.com/r4ven-ubicacion-ip-gps/
Derecho de la Red
R4Ven, una herramienta para rastrear la ubicación IP y GPS
R4Ven es una herramienta que nos permite poder capturar la ubicación, IP e información del dispositivo de una persona.
❤1
Hasta 7 años de cárcel para funcionarios que no actualizaron antivirus https://unaaldia.hispasec.com/2022/12/siete-anos-de-carcel-para-funcionarios-que-no-actualicen-software.html?utm_source=rss&utm_medium=rss&utm_campaign=siete-anos-de-carcel-para-funcionarios-que-no-actualicen-software
Una al Día
Hasta 7 años de cárcel para funcionarios que no actualizaron antivirus
Cinco funcionarios albanos se enfrentan a una posible pena de 7 años de cárcel por no actualizar el antivirus en ordenadores del gobierno.
🔰 Tiny File Manager Authenticated RCE - CVE-2021-45010
🔗 https://febin.hacklido.com/d/92-tiny-file-manager-authenticated-rce-cve-2021-45010
🔗 https://febin.hacklido.com/d/92-tiny-file-manager-authenticated-rce-cve-2021-45010
👍1
*Estudio para eWPT, guía de estudio para el exámen.*
SQL
-Inyección SQL manualmente
-Inyección SQL SQLmap
-Encontrar inyecciones de SQL
-Explotación de inyecciones de SQL en banda
-Explotación de la inyección de SQL basada en errores
-Explotación de inyecciones ciegas de SQL
Autenticacion y autorizacion (Fallos en autenticación)
-Enumeración de nombre de usuario
-Omitir autorización
-Autenticacion y autorizacion
Seguridad de sesión
-Secuestro y fijación de sesiones
-Falsificación de solicitud entre sitios
-Seguridad de sesión
*Seguridad Flash y Ataques
HTML5
-CORS HTML5
*Ataques de archivos y recursos
*secuestro de clics
*Servicios Web: SOAP
XPath
-XPATH y XCAT
Pruebas de penetración Sistemas de gestión de contenido
-Captura de credenciales de WordPress para movimiento lateral
-Captura de credenciales de WordPress para movimiento lateral
-Explotación de una vulnerabilidad en el núcleo de WordPress
-Encadenamiento de vulnerabilidades para extraer de forma remota las credenciales de administrador de WP
Pruebas de penetración de bases de datos NoSQL
-Explotación Redis
-Inyecciones NoSQL contra MongoDB
-Explotación de CouchDB
SQL
-Inyección SQL manualmente
-Inyección SQL SQLmap
-Encontrar inyecciones de SQL
-Explotación de inyecciones de SQL en banda
-Explotación de la inyección de SQL basada en errores
-Explotación de inyecciones ciegas de SQL
Autenticacion y autorizacion (Fallos en autenticación)
-Enumeración de nombre de usuario
-Omitir autorización
-Autenticacion y autorizacion
Seguridad de sesión
-Secuestro y fijación de sesiones
-Falsificación de solicitud entre sitios
-Seguridad de sesión
*Seguridad Flash y Ataques
HTML5
-CORS HTML5
*Ataques de archivos y recursos
*secuestro de clics
*Servicios Web: SOAP
XPath
-XPATH y XCAT
Pruebas de penetración Sistemas de gestión de contenido
-Captura de credenciales de WordPress para movimiento lateral
-Captura de credenciales de WordPress para movimiento lateral
-Explotación de una vulnerabilidad en el núcleo de WordPress
-Encadenamiento de vulnerabilidades para extraer de forma remota las credenciales de administrador de WP
Pruebas de penetración de bases de datos NoSQL
-Explotación Redis
-Inyecciones NoSQL contra MongoDB
-Explotación de CouchDB