Un extraño ataque modifica los archivos index.*
Hace ya casi un mes se ha detectado un ataque de inyección de código que sólo ataca a los ficheros con nombre index (index.htm, index.html, index.php) y añade la siguiente línea de código: HTML:...
View ArticleSeguridad de las compras en línea
Interesante artículo (pdf) donde comentan algunas fallas de algunas plataformas de comercio electrónico. Recuerdo que hace unos años, me había tocado integrar ese tipo de cosas en aplicaciones...
View ArticleClik here to view.
WordPress, tres años después
Aunque nunca haya sido un gran colaborador de WordPress, recuerdo que desde los primeros tickets que abrí relacionados a su seguridad, llegué a conocer relativamente bien el código que formaba parte de...
View ArticleWordPress: protección contra ataques CSRF
Para aquellos que desconocen, WordPress utiliza (desde la versión 2 si mal no recuerdo) las funciones wp_create_nonce y wp_verify_nonce como sistema de protección para ataques de tipo CSRF. Más allá de...
View ArticleWordPress < 3.1.3: Multiples vulnerabilidades
Aunque en el anuncio oficial no se mencione muy claramente, esta versión trae importantes cambios. La vulnerabilidad SA44409 fue corregida por el changeset 18014. Esto autorizaba a subir archivos que...
View ArticleClik here to view.
Collège de France: interesantes presentaciones sobre seguridad informática
Durante los meses de marzo, abril y mayo de este año, se han realizado un conjunto de presentaciones sobre seguridad (inglés, francés) en el Collège de France, en París. Pueden descargar las...
View ArticleSeguridad: validación de datos
No sé si todavía haya alguien que suela darle una mirada a los artículos de este blog, más aún si es alguien que conocía este sitio cuando solía escribir desvariar sobre temas relacionados a la...
View ArticleMetadatos en Post: Eligiendo nombres apropiados de claves meta para tus...
En la última actualización de seguridad de Worpdress se ha añadido un importante cambio que, posiblemente los desarrolladores de themes o plugins deban tener en cuenta. En el anuncio del lanzamiento no...
View ArticleAnonymous ataca las webs del gobierno peruano
Con el slogan "Andes Libres", Anonymous está atacando en estos momentos a distintos sitios del gobierno peruano (mi país). Esto en rechazo a la "TransPacific PartnerShip Agreement", con el cuál se...
View ArticleSurvive The Deep End: PHP Security
Un muy buen recurso para aquellos que usen PHP. Material bastante interesante.
View Article