OWASP API Security 2023:
- Broken object level authorization
- Broken authentication
- Broken object property level authorization
- Unrestricted resource consumption
- Broken function level authorization
- Server side request forgery
- Security misconfiguration
- Lack of protection from authentication threats
- Improper assets management
- Unsafe consumption of APIs
https://github.com/OWASP/API-Security/tree/master/2023/en/src
- Broken object level authorization
- Broken authentication
- Broken object property level authorization
- Unrestricted resource consumption
- Broken function level authorization
- Server side request forgery
- Security misconfiguration
- Lack of protection from authentication threats
- Improper assets management
- Unsafe consumption of APIs
https://github.com/OWASP/API-Security/tree/master/2023/en/src
👍2
Decider: herramienta gratuita para generar informes de MITRE ATT&CK
https://blog.segu-info.com.ar/2023/03/decider-herramienta-gratuita-para.html
https://blog.segu-info.com.ar/2023/03/decider-herramienta-gratuita-para.html
📃 "10 Herramientas esenciales para pentesting en Active Directory – Parte 1 de 2" https://thehackerway.com/2023/01/18/10-herramientas-imprescindibles-para-pentesting-en-active-directory/
📃 "10 Herramientas esenciales para pentesting en Active Directory – Parte 2 de 2" https://thehackerway.com/2023/01/25/10-herramientas-esenciales-para-pentesting-en-active-directory-parte-2-de-2/
🛠 Evil-WinRM https://t.me/seguridadinformatic4/2984
🛠 GhostPack https://t.me/seguridadinformatic4/3708
🛠 CrackMapExec https://t.me/seguridadinformatic4/2659
🛠 ADReaper https://github.com/AidenPearce369/ADReaper
🛠 Certify https://github.com/GhostPack/Certify y Certipy https://github.com/ly4k/Certipy
🛠 BloodHound https://github.com/BloodHoundAD/BloodHound y SilentHound https://github.com/layer8secure/SilentHound
🛠 PingCastle https://www.pingcastle.com/
🛠 Impacket https://github.com/fortra/impacket
🛠 WinPEAS https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS
🛠 Mimikatz https://github.com/gentilkiwi/mimikatz
📃 "10 Herramientas esenciales para pentesting en Active Directory – Parte 2 de 2" https://thehackerway.com/2023/01/25/10-herramientas-esenciales-para-pentesting-en-active-directory-parte-2-de-2/
🛠 Evil-WinRM https://t.me/seguridadinformatic4/2984
🛠 GhostPack https://t.me/seguridadinformatic4/3708
🛠 CrackMapExec https://t.me/seguridadinformatic4/2659
🛠 ADReaper https://github.com/AidenPearce369/ADReaper
🛠 Certify https://github.com/GhostPack/Certify y Certipy https://github.com/ly4k/Certipy
🛠 BloodHound https://github.com/BloodHoundAD/BloodHound y SilentHound https://github.com/layer8secure/SilentHound
🛠 PingCastle https://www.pingcastle.com/
🛠 Impacket https://github.com/fortra/impacket
🛠 WinPEAS https://github.com/carlospolop/PEASS-ng/tree/master/winPEAS
🛠 Mimikatz https://github.com/gentilkiwi/mimikatz
The Hacker Way
10 Herramientas esenciales para pentesting en Active Directory - Parte 1 de 2 - The Hacker Way
Demostración en vídeo de éste post:
Researchers Released MS Office Zero-Day Vulnerability Details and Exploit Code https://www.cyberkendra.com/2023/03/researchers-released-ms-office-zero-day.html
Cyber Kendra
Researchers Released MS Office Zero-Day Vulnerability Details and Exploit Code
Microsoft fixed MS Word RCE vulnerability (CVE-2023-21716) that can lead to remote code execution.
👍2
QRExfiltrate: exfiltrar datos mediante un QR animado
https://blog.segu-info.com.ar/2023/03/qrexfiltrate-exfiltrar-datos-mediante.html
https://blog.segu-info.com.ar/2023/03/qrexfiltrate-exfiltrar-datos-mediante.html
Quien interesados en presentar un examen de certificacion Microsoft (𝐍𝐨 𝐢𝐦𝐩𝐨𝐫𝐭𝐚 𝐜𝐮𝐚𝐥 𝐬𝐞𝐚) Se esta 𝐨𝐟𝐫𝐞𝐜𝐢𝐞𝐧𝐝𝐨 𝐯𝐨𝐮𝐜𝐡𝐞𝐫𝐬 𝐪𝐮𝐞 𝐜𝐮𝐛𝐫𝐞 𝐥𝐚 𝐦𝐢𝐭𝐚𝐝 𝟓𝟎% 𝐝𝐞𝐥 𝐯𝐚𝐥𝐨𝐫 𝐝𝐞𝐥 𝐞𝐱𝐚́𝐦𝐞𝐧𝐞𝐬 𝐌𝐢𝐜𝐫𝐨𝐬𝐨𝐟𝐭 (𝐄𝐱𝐚𝐦𝐞𝐧 𝐭𝐨𝐭𝐚𝐥 𝐯𝐚𝐥𝐞 𝟖𝟎 𝐝𝐨𝐥𝐚𝐫𝐞𝐬) 𝐩𝐞𝐫𝐨 𝐜𝐨𝐧 𝐞𝐥 𝐯𝐨𝐮𝐜𝐡𝐞𝐫 𝐪𝐮𝐞𝐝𝐚 𝐞𝐧 𝟒𝟎 𝐝𝐨𝐥𝐚𝐫𝐞𝐬, 𝐄𝐥 𝐜𝐨𝐬𝐭𝐨 𝐝𝐞𝐥 𝐯𝐨𝐮𝐜𝐡𝐞𝐫 𝐞𝐬 𝐝𝐞 𝟏𝟎𝟎 𝐦𝐢𝐥 𝐩𝐞𝐬𝐨𝐬 𝐜𝐨𝐥𝐨𝐦𝐛𝐢𝐚𝐧𝐨𝐬, 𝐐𝐮𝐢𝐞𝐫𝐞 𝐝𝐞𝐜𝐢𝐫 𝐪𝐮𝐞 𝐬𝐨𝐥𝐨 𝐯𝐚𝐬 𝐢𝐧𝐯𝐞𝐫𝐭𝐢𝐫 𝐚𝐥𝐫𝐞𝐝𝐞𝐝𝐨𝐫 𝐝𝐞 𝟔𝟎 𝐝𝐨𝐥𝐚𝐫𝐞𝐬 𝐞𝐧 𝐭𝐨𝐭𝐚𝐥 𝐩𝐨𝐫 𝐞𝐥 𝐞𝐱𝐚𝐦𝐞𝐧, 𝐎𝐬𝐞𝐚 𝐪𝐮𝐞 𝐚𝐡𝐨𝐫𝐫𝐚𝐬 𝟐𝟎 𝐝𝐨𝐥𝐚𝐫𝐞𝐬.
Comunicarse por Whastapp: +573147102178
Comunicarse por LinkedIn: https://lnkd.in/ekKZYjw6
Listado Oficial Certificaciones Microsoft:
https://lnkd.in/eD2NpXck
Comunicarse por Whastapp: +573147102178
Comunicarse por LinkedIn: https://lnkd.in/ekKZYjw6
Listado Oficial Certificaciones Microsoft:
https://lnkd.in/eD2NpXck
lnkd.in
LinkedIn
This link will take you to a page that’s not on LinkedIn
CVE-2023-21716: vulnerabilidad crítica en MS Word al abrir documento RTF malicioso (CVE-2023-21716)
https://blog.segu-info.com.ar/2023/03/cve-2023-21716-vulnerabilidad-critica.html
https://blog.segu-info.com.ar/2023/03/cve-2023-21716-vulnerabilidad-critica.html
👍1
CorePlague: vulnerabilidades graves en Jenkins
https://blog.segu-info.com.ar/2023/03/coreplague-vulnerabilidades-graves-en.html
https://blog.segu-info.com.ar/2023/03/coreplague-vulnerabilidades-graves-en.html
os comparto para los nuevos del grupo el canal de youtube perteneciente a este canal de telegram.
Saludos.
https://www.youtube.com/@Anonimo501
Saludos.
https://www.youtube.com/@Anonimo501
👏1
(Otra) vulnerabilidad crítica en Fortinet (CVE-2023-25610)
https://blog.segu-info.com.ar/2023/03/otra-vulnerabilidad-critica-en-fortinet.html
https://blog.segu-info.com.ar/2023/03/otra-vulnerabilidad-critica-en-fortinet.html
https://github.com/m3n0sd0n4ld/uCVE
a nueva versión de la herramienta uCVE, ya que el NIST ha cambiado ciertos parámetros de las queries. Ahora es obligatorio especificar el vendor del product en las búsquedas.
El script genera el fichero list.lvp para no tener que especificar el
vendor. Además, se han añadido funcionalidades extras, como formatos de entrada y salida.
a nueva versión de la herramienta uCVE, ya que el NIST ha cambiado ciertos parámetros de las queries. Ahora es obligatorio especificar el vendor del product en las búsquedas.
El script genera el fichero list.lvp para no tener que especificar el
vendor. Además, se han añadido funcionalidades extras, como formatos de entrada y salida.
GitHub
GitHub - m3n0sd0n4ld/uCVE: uCVE is a tool written in GO that allows to extract CVE's related to a specific software and version…
uCVE is a tool written in GO that allows to extract CVE's related to a specific software and version, obtaining a report in HTML format with the result and/or exporting it to the pentesting...
👍2
Por chatGPT:
lista de las máquinas en Hack The Box que pueden ayudarte a prepararte para la certificación eWPT:
Nivel fácil:
Cronos: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web.
Lame: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Joomla.
Legacy: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en una versión antigua de Windows.
Bashed: Una máquina que te enseña a identificar y explotar vulnerabilidades en un script de shell.
Nivel intermedio:
Granny: Una máquina que te enseña a identificar y explotar vulnerabilidades en un servidor web Apache.
Beep: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en WordPress.
Sunday: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en PHP.
Nivel difícil:
Control: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Drupal.
Obscurity: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Ruby on Rails.
Bastion: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa.
Popcorn: Una máquina que te enseña a identificar y explotar vulnerabilidades en un servicio de streaming basado en PHP y Javascript.
Valentine: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Django.
Bastard: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa basada en Windows.
Luke: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Java.
Networked: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa compleja.
Devel: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en .NET.
Nivel muy difícil:
Arctic: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en React.js.
Blackfield: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Node.js.
Forest: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa compleja basada en Windows.
Writeup: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Ruby on Rails.
PlayerTwo: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Angular.
RastaLabs: Un entorno de laboratorio completo que te enseña a identificar y explotar vulnerabilidades en una variedad de tecnologías web, incluyendo OWASP Top 10, así como también te da una idea de cómo se desarrolla un proyecto de hacking ético.
Estas son solo algunas de las máquinas en Hack The Box que pueden ayudarte a prepararte para la certificación eWPT. Recuerda que la mejor manera de prepararse para cualquier certificación es practicar y aprender continuamente.
lista de las máquinas en Hack The Box que pueden ayudarte a prepararte para la certificación eWPT:
Nivel fácil:
Cronos: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web.
Lame: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Joomla.
Legacy: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en una versión antigua de Windows.
Bashed: Una máquina que te enseña a identificar y explotar vulnerabilidades en un script de shell.
Nivel intermedio:
Granny: Una máquina que te enseña a identificar y explotar vulnerabilidades en un servidor web Apache.
Beep: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en WordPress.
Sunday: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en PHP.
Nivel difícil:
Control: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Drupal.
Obscurity: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Ruby on Rails.
Bastion: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa.
Popcorn: Una máquina que te enseña a identificar y explotar vulnerabilidades en un servicio de streaming basado en PHP y Javascript.
Valentine: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Django.
Bastard: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa basada en Windows.
Luke: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Java.
Networked: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa compleja.
Devel: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en .NET.
Nivel muy difícil:
Arctic: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en React.js.
Blackfield: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Node.js.
Forest: Una máquina que te enseña a identificar y explotar vulnerabilidades en una red corporativa compleja basada en Windows.
Writeup: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Ruby on Rails.
PlayerTwo: Una máquina que te enseña a identificar y explotar vulnerabilidades en una aplicación web basada en Angular.
RastaLabs: Un entorno de laboratorio completo que te enseña a identificar y explotar vulnerabilidades en una variedad de tecnologías web, incluyendo OWASP Top 10, así como también te da una idea de cómo se desarrolla un proyecto de hacking ético.
Estas son solo algunas de las máquinas en Hack The Box que pueden ayudarte a prepararte para la certificación eWPT. Recuerda que la mejor manera de prepararse para cualquier certificación es practicar y aprender continuamente.
👍3