Archivo

Archivo de Autor

Explotación de Software Parte 3 – Programación en Assembly bajo plataformas Linux

febrero 20, 2014 1 comentario

Diferencias entre sintaxis Intel y AT&T para escribir programas en ensamblador.
Comenzamos a trabajar con programas simples para manipulación de datos y direcciones de memoria utilizando el GNU Assembler.

MovInstDemo.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/MovInstDemo.s
MovsDemo.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/MovsDemo.s
MovRep.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/MovRep.s

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 3 – DNSPython para consultar servidores DNS

febrero 18, 2014 3 comentarios

Uso de DNSPython para realizar varios tipos de consultas contra servidores DNS.

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 2 -Modos de operación del procesador e Instrucciones en Assembly

febrero 13, 2014 1 comentario

Conceptos básicos sobre el funcionamiento del procesador y sus modos de operación (arquitectura IA-32).
También se habla sobre conceptos básicos sobre programación en ensamblador.

SimpleExit.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/SimpleExit.s
SimpleData.s: https://github.com/Adastra-thw/ExploitSerie/blob/master/SimpleData.s

Repositorio GIT de la serie:

https://github.com/Adastra-thw/ExploitSerie.git


Make a Donation Button

Hacking con Python Parte 2 – Reconocimiento de máquinas en el entorno de red

febrero 11, 2014 1 comentario

Automatización del uso del comando PING para la detección de máquinas activas en el segmento de red.

PingScan.py: https://github.com/Adastra-thw/pyHacks/blob/master/PingScan.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Explotación de Software Parte 1 – Conceptos básicos arquitectura de Ordenadores

febrero 6, 2014 1 comentario

Vídeo introductorio sobre conceptos y elementos básicos en la arquitectura de ordenadores.


Make a Donation Button

Hacking con Python Parte 1 – Banner Grabbing

febrero 4, 2014 1 comentario

Primer vídeo de la serie donde se explican los objetivos y enfoque que se va a seguir. Ademas se incluye un script simple para la detección de servicios vulnerables.

simple-bannergrabbing.py: https://github.com/Adastra-thw/pyHacks/blob/master/simple-bannergrabbing.py

Repositorio GIT de la serie:

https://github.com/Adastra-thw/pyHacks.git


Make a Donation Button

Vídeoblog.

diciembre 27, 2013 4 comentarios

En los últimos meses, he publicado muy pocos artículos por cuestiones de tiempo,  trabajo, estudio, cursos, auto-formación, etc, etc, etc. En general… muchas actividades que absorben todo el tiempo que tengo disponible. Para mi ha sido una pena tener tan abandonado este espacio, especialmente con el ritmo que llevaba inicialmente en el que publicaba alguna que otra cosa casi a diario. Como escribir lleva tiempo y especialmente, con el nivel de detalle con el que intento abordar cada artículo, se me ha ocurrido que puedo comenzar a editar vídeos al estilo de “securitytube” (y seguir un poco los pasos de Vivek Ramachandran, jejeje :) http://www.vivekramachandran.com/ ).

El blog ha ido perdiendo fuerza por mi falta de tiempo para escribir y de ser el único autor de este sitio (que por cierto, si alguien quiere publicar algo aquí, puede ponerse en contacto conmigo).
Creo que es el momento de intentar cambiar esto y compartir algunas de las cosas que he ido aprendiendo. Pensando en ello voy a convertir este espacio en un “vídeoblog”. Editar vídeos en lugar de escribir artículos demasiado extensos, tiene muchísimas ventajas frente a los blogs tradicionales, se me ocurren algunas:

  • Es más entretenido
  • Es más practico
  • Es más fácil comprender como funciona algo si lo ves al vuelo, en lugar de ver pantallazos en un post.
  • Es más rápido y “digerible” que leer un post demasiado largo.
  • En general, me ahorra tiempo hacer vídeos cortos y concretos de una duración máxima de 20 minutos.

Voy a comenzar con dos series de vídeos que he llamado: “Hacking con Python” y “Fuzzing y explotación de software vulnerable en sistemas Windows y Linux”. Ya tengo grabados unos cuantos vídeos que se publicarán de forma periódica los días martes y jueves de cada semana, creo que de esta forma,  voy a poder darle un poco más de vida a este sitio y seguir publicando cosas que me interesan y que seguro, también son del interés de otros colegas informáticos. Pongo a continuación las fechas de publicación sobre los vídeos que he podido grabar hasta ahora (aunque serán muchos más):

Hacking con Python Parte 1 – Banner Grabbing 04/02/2014
Explotación de Software Parte 1 – Conceptos básicos arquitectura de Ordenadores 06/02/2014
Hacking con Python Parte 2 – Reconocimiento de máquinas en el entorno de red 11/02/2014
Explotación de Software Parte 2 -Modos de operacion del procesador e Instrucciones en Assembly 13/02/2014
Hacking con Python Parte 3 – DNSPython para consultar servidores DNS 18/02/2014
Explotación de Software Parte 3 – Programación en Assembly bajo plataformas Linux 20/02/2014
Hacking con Python Parte 4 – Enumeración de usuarios SMTP 25/02/2014
Explotación de Software Parte 4 – Programación en Assembly bajo Linux 27/02/2014
Hacking con Python Parte 5 – Conceptos Básicos sobre Scapy 04/03/2014
Explotación de Software Parte 5 – Flujo de ejecución de un programa en Assembly 06/03/2014
Hacking con Python Parte 6 – ARP Poisoning, MITM y DNSSpoofing con Scapy 11/03/2014
Explotación de Software Parte 6 – Desplazamientos de Bytes y Trabajo con enteros 13/03/2014
Hacking con Python Parte 7 – Manipulación de peticiones HTTP 18/03/2014
Explotación de Software Parte 7 – Instrucciones Logicas en Assembly 20/03/2014
Hacking con Python Parte 8 – Web Scraping con BeautifulSoup 25/03/2014
Explotación de Software Parte 8 – Bucles y Funciones en Assembly 27/03/2014
Hacking con Python Parte 9 – Web Crawlng con Scrapy 01/04/2014
Explotación de Software Parte 9 – Funcionamiento de la Stack 03/04/2014
Hacking con Python Parte 10 – Mechanize para interactuar con aplicaciones web 08/04/2014
Explotación de Software Parte 10 – Elementos en la Stack 10/04/2014
Hacking con Python Parte 11 – Desarrollo de un Crawler 15/04/2014
Explotación de Software Parte 11 – Funcionamiento del Kernel de Linux y System Calls 17/04/2014
Hacking con Python Parte 12 – Usando urllib3 y Requests 22/04/2014
Explotación de Software Parte 12 – Uso de System Calls en Linux 24/04/2014
Hacking con Python Parte 13 – Mecanismos de autenticación en protocolo HTTP 29/04/2014
Explotación de Software Parte 13 – Assembly Inline 01/05/2014
Hacking con Python Parte 14 – Utilizando NMAP desde Python 06/05/2014
Explotación de Software Parte 14 – Introducción a NASM y MASM 08/05/2014
Hacking con Python Parte 15 – Utilizando Shodan desde Python 13/05/2014
Explotación de Software Parte 15 – Sintaxis Intel en NASM 15/05/2014
Hacking con Python Parte 16 – Twitter desde Python utilizando el protocolo OAuth 20/05/2014
Explotación de Software Parte 16 – Introducción a MASM 22/05/2014
Hacking con Python Parte 17 – FuzzDB y PyWebFuzz 27/05/2014
Explotación de Software Parte 17 – Programación en MASM 29/05/2014
Hacking con Python Parte 18 – Módulo FTPLib para acceder a servidores FTP 03/06/2014
Explotación de Software Parte 18- Introducción y Conceptos Básicos sobre Fuzzing 05/06/2014
Hacking con Python Parte 19 – Automatización con Pexpect 10/06/2014
Explotación de Software Parte 19 – Fuzzing con Spike 12/06/2014
Hacking con Python Parte 20 – Controlando servidores SSH con Paramiko 17/06/2014
Explotación de Software Parte 20 – Introducción a Sulley Framework 19/06/2014
Hacking con Python Parte 21 – Automatización con Plumbum 24/06/2014
Explotación de Software Parte 21 – Instalación de Sulley Framework 26/06/2014
Hacking con Python Parte 22 – Características avanzadas de Plumbum 01/07/2014
Explotación de Software Parte 22 – Conceptos básicos sobre explotación de software 03/07/2014
Hacking con Python Parte 23 – Controlando instancias de TOR con Stem 08/07/2014
Explotación de Software Parte 23 – Desarrollo de Exploits basados en la Stack 10/07/2014
Hacking con Python Parte 24 – Consulta de descriptores de TOR con Stem 15/07/2014
Explotación de Software Parte 24 – Salto y Ejecución de Shellcodes 17/07/2014
Hacking con Python Parte 25 – Atacando Repetidores de Salida de TOR 22/07/2014
Explotación de Software Parte 25 – Desarrollo de Exploits basados en la Stack – Explotación basada en SEH 24/07/2014
Hacking con Python Parte 26 – Introducción a Twisted 29/07/2014
Explotación de Software Parte 26 – Uso de Plugins en WinDBG para agilizar el desarrollo de exploits 31/07/2014
Hacking con Python Parte 27 - Construyendo clientes y servidores con Twisted 05/08/2014
Explotación de Software Parte 27 – Uso de Mona en Inmunity Debugger para agilizar el desarrollo de exploits 07/08/2014
Hacking con Python Parte 28 – Introducción a PyDBG 12/08/2014
Explotación de Software Parte 28 – Conceptos Básicos sobre ShellCoding 14/08/2014
Hacking con Python Parte 29 – Scripting en Inmmunity Debugger – PyCommands 19/08/2014
Explotación de Software Parte 29 – Identificando Bad Characters en Shellcodes 21/08/2014
Hacking con Python Parte 30 – Scripting en Inmmunity Debugger – PyHooks 26/08/2014
Explotación de Software Parte 30 – Desarrollo de Shellcodes. 28/08/2014
Hacking con Python Parte 31 – Scripting en Inmmunity Debugger – Examinando programas y librerías 02/09/2014

Sin más que decir, espero que esto me permita seguir con un ritmo de publicaciones más o menos constante y atraer a más personas al mundo de la seguridad informática.

Felices Fiestas y Saludos a todos!

Happy hack!

Categorías:Uncategorized

WEB HACKING – Atacando DOJO InsecureWebApp – Arachni contra Insecure WebApp – Parte XXXI

julio 17, 2013 Deja un comentario

Como se ha visto en el articulo anterior, algunos de los plugins de W3AF son bastante útiles para conseguir de forma rápida, información sobre una aplicación web y la infraestructura del servidor. En el articulo anterior, solamente se han incluido algunos plugins de descubrimiento de W3AF, en esta publicación, vamos a utilizar algunos de los plugins de auditoria y haremos una corta introducción a Arachni, el cual, como en el caso de W3AF, es una herramienta muy completa para la ejecución de pruebas de penetración contra aplicaciones web y aunque ya viene incluida en Dojo, es interesante realizar una instalación manual de la herramienta con la última versión disponible.

Leer más…

WEB HACKING – Atacando DOJO InsecureWebApp – Enumeración – Parte XXX

junio 13, 2013 Deja un comentario

Otra aplicación web vulnerable existente en DOJO es InsecureWebApp, dicha aplicación se encuentra escrita en JSP y contiene una buena cantidad de ejemplos de funciones vulnerables que pueden ser explotadas fácilmente. En los siguientes posts hablaré sobre dichas vulnerabilidades y como es posible explotarlas. El primer paso, como se ha mencionado en muchas ocasiones, es el de recolectar tanta información como sea posible sobre la aplicación web. No solamente son importantes los detalles técnicos, también es muy importante conocer detalles funcionales sobre la aplicación en cuestión, saber para que está hecha y en general cuales son sus características.

Leer más…

WEB HACKING – Atacando DOJO Hackme Casino – Sesiones inseguras en Ruby On Rails – Parte XXIX

mayo 16, 2013 Deja un comentario

Cuando se utiliza una plataforma como Ruby OnRails, es conveniente tener presente que hay ciertas “buenas practicas” que se deben seguir para desarrollar de forma segura, muchas de esas practicas, como prácticamente todo en el mundo de la seguridad informática, son simplemente de sentido común, otras resultan un poco más complicadas de entender y de cumplir. Sin embargo, en el caso de las sesiones que se pueden manejar en Ruby OnRails, es importante para un desarrollador, entender, cumplir y comprobar que se siguen las pautas adecuadas para tener la información segura y el sistema funcionando como corresponde. La razón por la que es importante prestarle atención a las sesiones en Ruby OnRails, radica en que existen varios métodos de almacenamiento que pueden ser implementados y que si no somos lo suficientemente prudentes, nos podemos encontrar con que la información que tenemos almacenada en dichas sesiones puede ser fácilmente comprometida por un atacante, que es justo lo que ocurre con HackMe Casino. Antes de entrar en la parte practica de está publicación, intentaré explicar un poco, como es el funcionamiento de las Sesiones en Ruby OnRails (que es más flexible que en otros lenguajes de programación tradicionales como JSP o PHP)

Leer más…

WEB HACKING – Atacando DOJO Hacme Casino – Controladores inseguros en Ruby OnRails – Parte XXVIII


HacMe Casino es una aplicación deliberadamente vulnerable que se encuentra escrita utilizando el framework Ruby On Rails, hasta este punto se han mencionado algunas vulnerabilidades que se suelen encontrar en muchas aplicaciones web, independiente de la plataforma utilizada, tales como SQL Injections, XSS Stored/Reflected, CSRF, Session Fixation, etc. Sin embargo, para un atacante siempre resulta útil conocer como funciona la plataforma que es utilizada para servir el sitio web, tanto el lenguaje de programación como el servidor, como se ha mencionado en reiteradas ocasiones, la información es la clave, entre más información se cuente sobre un objetivo, es mucho más probable realizar ataques exitosos.

Leer más…

WEB HACKING – Atacando DOJO Hacme Casino – Otras Vulnerabilidades Parte XXVII


Las dos vulnerabilidades que se han explicado anteriormente sobre HacMe Casino, permitían que cualquiera pudiera acceder y manipular de forma arbitraria, la información de otros usuarios en el sistema. En está ocasión se examinarán otras vulnerabilidades existentes en la aplicación para poder analizar su impacto.

Leer más…

WEB HACKING – Atacando DOJO Hacme Casino – Vulnerabilidad CSRF Parte XXVI

abril 30, 2013 1 comentario

En el articulo anterior, ya teníamos acceso a la aplicación utilizando una cuenta de usuario valida, gracias a una vulnerabilidad de SQL Injection que permitía realizar un “ByPass” del mecanismo de autenticación implementado (login/password). Se trata de una vulnerabilidad que, aunque cada vez suele ser más rara de encontrar, sirve para demostrar lo que es una Blind SQL Injection en todo su esplendor…

En esta ocasión, aprovechando que ya se cuenta con acceso a la aplicación, se procederá a analizar las algunas peticiones HTTP de la aplicación para intentar detectar cualquier otra “brecha” que nos permita hacer más “daño”. Para ello, como el lector seguramente ya comprenderá, basta con utilizar un proxy web como por ejemplo Burp Proxy, OWASP Zap o incluso algún que otro plugin de Firefox que sirve, básicamente para lo mismo, como por ejemplo Tamper Data o Live HTTP Headers.

Leer más…

Pasando de Netcat a Cryptcat

abril 24, 2013 Deja un comentario

Hace algún tiempo escribí algunos posts en los que hablaba sobre el uso de herramientas como Netcat, Socat y SSH para establecer conexiones seguras y no tan seguras con otras máquinas (aquí empieza: http://thehackerway.com/2011/08/03/herramientas-para-hacking-en-entornos-de-red-telnet-parte-i/ ). En esa serie de posts, se hablo sobre los beneficios de utilizar Netcat o Socat y como estas herramientas eran claramente superadas por el todo-poderoso protocolo SSH, sin embargo a día de hoy, aun son muchos los que suelen utilizar Netcat para establecer conexiones con hosts remotos y lo suelen utilizar para “jugar” con el establecimiento de puertas traseras, por este y otros motivos, Netcat es conocido por muchos la “Navaja suiza” de los hackers y administradores, ya que es versátil, facilidad de usar, fácil de instalar y la puedes llevar prácticamente a cualquier parte ya que es muy liviana, sin embargo tiene el mismo problema que tiene Telnet: Los paquetes no se cifran, lo que quiere decir todo lo que se transmita por el canal de comunicación establecido por Netcat, puede ser fácilmente capturado por cualquier sniffer. Ahora bien, la solución a esto, como se ha mencionado anteriormente, es utilizar un protocolo de comunicación seguro como lo es SSH, sin embargo, en esta ocasión quisiera hablar de otras herramientas que funcionan igual que Netcat (es decir, con las mismas opciones y demás) pero que además realiza el cifrado de los paquetes transmitidos en el canal de comunicación, algo que viene muy bien en muchos casos.

Leer más…

WEB HACKING – Atacando DOJO Vulnerabilidades SQL Injection en Hacme Casino Parte XXV

abril 4, 2013 3 comentarios

En la entrada anterior, se hablo un poco sobre una aplicación vulnerable incluida en Dojo llamada HacMe Casino, se realizo un proceso de recolección de información muy rápido (de hecho, insuficiente, pero muy ilustrativo) para determinar la plataforma utilizada por la aplicación y se encontró una posible vulnerabilidad de tipo SQL Injection, en esta entrada, se utilizarán herramientas tales como SQLMap para detectar y explotar otras fallas de seguridad encontradas en esta aplicación. Cabe anotar, que en esta entrada y en la próxima, se asumirá que el enfoque seguido es el de Caja Negra es decir, que toda la información será extraída sin disponer del código fuente de la aplicación, en el caso contrario, se utilizaría un enfoque que Caja Blanca en tales casos, el pentester cuenta con el código fuente de la aplicación y en consecuencia podrá realizar un análisis mucho más profundo de las funciones del sistema. Evidentemente, desde el punto de vista de la seguridad ofensiva ambos enfoques son importantes, pero realizar pruebas de caja negra, permite de alguna forma, ponerse en el lugar de un atacante, el cual necesita recolectar toda la información que pueda para entender el sistema y en la mayoría de casos no cuenta con el código fuente. A menos claro, de que la aplicación objetivo sea opensource, en tal caso podría disponer también del código fuente y realizar, del mismo modo, pruebas de caja blanca.

Leer más…

WEB HACKING – Atacando DOJO Enumeración Hacme Casino Parte XXIV

marzo 26, 2013 Deja un comentario

A partir de está publicación y hasta el final, esta serie de artículos será un poco más entretenida, ya que se comenzará a utilizar herramientas comunes para atacar aplicaciones web con ejemplos prácticos. Para continuar desde aquí, con el resto de publicaciones de esta serie, se asume que el lector tiene configurada una máquina virtual con DOJO, tal como se explico hace algunos meses en esta publicación:

http://thehackerway.com/2012/07/09/web-hacking-configurando-dojo-web-security-como-hacklab-parte-iii/

Leer más…

WEB HACKING – Vulnerabilidades en XAMPP (Continuación) – Parte XXIII

marzo 12, 2013 Deja un comentario

En la publicación anterior, se han mencionado algunas de las vulnerabilidades más conocidas en XAMPP y dado que no se han mencionado otras que han sido bastante llamativas, la intención de esta publicación es mencionar algunas más y explicar su impacto.

XAMPP 1.7.7

En esta versión del producto, se han encontrado un par de vulnerabilidades del tipo XSS y SQL Injection, en algunas de las páginas por defecto que vienen en el contexto por defecto, que si bien su impacto debería ser nulo en un servidor correctamente configurado, en una instalación por defecto, el resultado puede ser un servidor comprometido.

Leer más…

WEB HACKING – Vulnerabilidades en XAMPP – Parte XXII

marzo 5, 2013 1 comentario

Aunque es una muy buena practica, instalar todos los componentes y librerías de un servidor web Apache, para muchos es muy cómodo utilizar “paquetes” que incluyen muchas librerías y software de uso común, como por ejemplo PHP, Perl, MySQL, etc. Este tipo de paquetes, permiten que un desarrollador pueda comenzar a trabajar en su aplicación web rápidamente sin tener que preocuparse demasiado por la configuración del servidor web y de los módulos necesarios para ello. XAMPP es uno de estos paquetes y actualmente se encuentra muy difundido, ya que incluye Apache, PHP, Perl, MySQL, ProFTPD, OpenSSL, PHPMyAdmin, entre otras herramientas y utilidades. Sin embargo, en muchas ocasiones el riesgo que se tiene con este tipo de productos, es que al final, el proveedor siempre intentará que su producto sea compatible con la mayor cantidad de plataformas posibles y para ello, en algunas ocasiones, intentan hacer uso de configuraciones estándar que no son simpre tan seguras u óptimas como debería.

Leer más…

2 años

febrero 25, 2013 5 comentarios

Hoy se cumplen dos años desde que comencé a escribir en esté blog, con la idea de tener registrado todo lo que he ido estudiando por mi cuenta y de paso, compartirlo con otros colegas informáticos. No he podido escribir en este sitio con la frecuencia que tenia prevista inicialmente, como siempre por falta de tiempo, pero en estos 2 años, he podido conocer (virtualmente) a mucha gente que escribe a mi correo y que comenta sobre algunos de los post que más les han interesado, para mi ha sido muy gratificante y me alegra saber que lo poco que sé, le ha servido a otras personas que como yo, buscan mejorar sus conocimientos y habilidades en el campo de la seguridad informática. Con este corto post, solamente quiero agradecer a aquellas personas que han leído y siguen leyendo este blog, que han dejado sus comentarios y aportes, que constantemente me escriben a mi correo (aunque lo agradezco, por favor, no más correos pidiéndome “hackear” la cuenta de tu novio/a), a aquellos que continuamente han reconocido mi trabajo y a los que este blog les ha ayudado a hacer el suyo, a todos vosotros

MIL GRACIAS!

Espero continuar por muchos años más redactando publicaciones en este sitio, esforzándome para que la calidad técnica de los artículos que voy escribiendo sea cada vez mayor.

Por otro lado, he podido conocer a gente con unas buenas capacidades y un nivel técnico muy alto, por ese motivo, se me ha ocurrido la idea de invitar a otras personas que deseen participar de una forma más activa y directa en este blog, no solamente por medio de comentarios, sino que aquellos que deseen que sus artículos se vean publicados en este espacio pueden contactarme en mi correo personal…. (debiadastra@gmail.com)  Evidentemente, se haría referencia directa al autor del post, tanto al principio como al final de la publicación. Así que, ahí dejo en el aire esa idea para aquellos que quieran ver sus artículos en este sitio.

Bueno…. Saludos a todos y Happy Hack! :)

 

 

PD: Aquí estoy yo contestando a vuestros correos y comentarios…. jajaja

Homer-Simpson-At-The-Computer

.

Categorías:Uncategorized Etiquetas:

W3AFRemote r01 Liberado…

febrero 13, 2013 Deja un comentario

El día de hoy, después de algunos meses, he liberado la primera versión (espero que mas o menos estable) de W3AFRemote: http://sourceforge.net/projects/w3afremote/.

Es una librería que mencionado en alguna ocasión en mi twitter, pero que hasta el momento no había enseñado.

Antes que nada, explicaré un poco como ha surgido esto y para que sirve, como seguramente muchos de vosotros ya sabéis  W3AF es una potente herramienta que permite realizar actividades de pentesting sobre aplicaciones web y permite detectar y explotar vulnerabilidades utilizando uno o varios de los plugins incluidos en W3AF, los cuales se encuentran correctamente ordenados por familias, las que a su vez, representan una “fase” del procedimiento de auditoria y ataque, aunque esta muy bien, para desarrolladores (como yo) es difícil de integrar en aplicaciones existentes o que se encuentran en estado de desarrollo, en mi caso concreto, me encontraba desarrollando DENRIT (otra herramienta que espero liberar próximamente y de la que hablaré en una próxima entrada) y me encontraba con la necesidad de interactuar desde mi aplicación con W3AF, dado que W3AF es una aplicación que se ejecuta en modo “stand-alone” y no cuenta con un servicio que permita a otros desarrolladores interactuar con el framework de forma directa (tal como se suele hacer con Metasploit Framework con su servicio MSFRPCD) me encontraba con esta gran dificultad, querer integrar la potencia de W3AF en mi aplicación, pero no contar con una API o una interfaz que me permitiera enviar comandos al framework y dejar que esté “Haga lo suyo”. Dado que supongo, que muchos otros desarolladores se han encontrado en una situación similar, me decidí por escribir un servicio XML-RPC para interactuar con las potencialidades de W3AF y es así como en un derroche de creatividad y originalidad, se me ocurrió nombrar a esta herramienta W3AFRemote… Si, adelante, reíros! XD
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 773 seguidores

%d personas les gusta esto: