Auditoría De Seguridad Informática By Asher Wyatt

Auditoría De Seguridad Informática By Asher Wyatt Destruir no es difícil, basta con un solo (y/n) #>>completed ex*****on, pero mi tarea no es destrui

21/06/2023

Ejemplo de un Inyección SQL

Un ejemplo de inyección SQL podría ser el siguiente:

Supongamos que una aplicación web tiene una sección de búsqueda de usuarios por nombre, y en su código utiliza una consulta SQL como esta:

```
SELECT * FROM usuarios WHERE nombre = 'nombre_buscado';
```

Si un atacante malicioso ingresa en la entrada de búsqueda el siguiente texto:

```
' OR '1'='1
```

La consulta SQL quedaría así:

```
SELECT * FROM usuarios WHERE nombre = '' OR '1'='1';
```

Y la base de datos devolvería todos los usuarios, ignorando la condición original de buscar por el nombre específico. De esta forma el atacante podría tener acceso no autorizado a información confidencial.

Otro ejemplo sería el de una aplicación que permita al usuario ingresar una contraseña para acceder a su cuenta, y que en su código SQL utilice una consulta como la siguiente:

```
SELECT * FROM usuarios WHERE nombre_usuario='nombre_usuario' and contraseña='contraseña_ingresada';
```

Si el atacante ingresa como contraseña el siguiente texto:

```
' OR '1'='1
```

La consulta SQL quedará así:

```
SELECT * FROM usuarios WHERE nombre_usuario='nombre_usuario' and contraseña='' OR '1'='1';
```

Y la base de datos devolverá al atacante todos los usuarios, sin necesidad de conocer una contraseña válida.


21/06/2023

¿Cuáles son las vulnerabilidades más comunes?

Hay una variedad de vulnerabilidades comunes en el software, algunas de las cuales incluyen:

1. Inyección SQL: Se produce cuando un atacante utiliza un código malicioso para insertar comandos maliciosos en una aplicación web.

2. Cross-site scripting (XSS): Un atacante utiliza código malicioso para inyectar scripts en una página web y así robar información sensible del usuario.

3. Manejo inadecuado de autenticación y sesiones: Esto puede permitir que un atacante acceda a los datos de otro usuario al interceptar las cookies de autenticación.

4. Man-in-the-middle attack: Los atacantes pueden interceptar y manipular los datos que se transmiten entre dos dispositivos, permitiendo el acceso al extremo de cada comunicación.

5. Vulnerabilidades de la capa de aplicación: Estos pueden incluir problemas en la funcionalidad de la aplicación, fallas de seguridad y exposiciones de información.

6. Vulnerabilidades del sistema operativo: Los sistemas operativos deben actualizarse y mantenerse regularmente para reducir la probabilidad de vulnerabilidades.

7. Puertas traseras y vulnerabilidades de software introducidas por los desarrolladores: A veces los desarrolladores pueden agregar puertas traseras para realizar tareas como la depuración y el monitoreo, pero estas puertas traseras pueden ser utilizadas por atacantes.



 -PCMX¿Como saber el nombre real del ESTAFADOR?
12/05/2023

-PCMX
¿Como saber el nombre real del ESTAFADOR?

04/03/2023
  Pegasus es un programa informático desarrollado por NSO Group, una empresa israelí creada por tres antiguos agentes de...
04/09/2022



Pegasus es un programa informático desarrollado por NSO Group, una empresa israelí creada por tres antiguos agentes del ejército de Israel especializados en ciberarmamento y ataques informáticos.

Este spyware o programa espía puede acceder a otros teléfonos a partir de SMS o mensajes de Whatsapp: el usuario recibe un mensaje con un link y, al hacer clic, el virus informático penetra en el dispositivo móvil y puede registrar todos los mensajes y llamadas. No obstante, existe una versión más sofisticada del software que puede infectar los móviles sin ninguna interacción por parte del usuario.

Una vez dentro, el spyware puede tener acceso a la cámara, el micrófono (sin necesidad de que esté en uso), la localización del GPS, las contraseñas y las aplicaciones de mensajería. Puede grabar conversaciones telefónicas y activar el teclado sin que el usuario sea consciente de ello. Es decir: tu móvil puede ser usado en tu contra.

El espionaje es una herramienta muy importante para los gobiernos y fuerzas de seguridad, que lo utilizan para evitar posibles ataques. No obstante, este espionaje debe estar regulado por la ley y obtener autorización por parte del poder judicial, para garantizar que también se respetan los derechos de la ciudadanía.

⚠️ Cuidado con el falso juego Cthulhu World ⚠️Se ha detectado un falso proyecto P2E de videojuegos llamado "Cthulhu Worl...
28/08/2022

⚠️ Cuidado con el falso juego Cthulhu World ⚠️
Se ha detectado un falso proyecto P2E de videojuegos llamado "Cthulhu World" el cual es usado para realizar campañas maliciosas con malware para el robo de información.

.S.I. By AsherWaytt

  Disculpa la demora, nuestro equipo ha tenido contratiempos al alertar este tipo de Malware, por favor no habrán el enl...
23/08/2022

Disculpa la demora, nuestro equipo ha tenido contratiempos al alertar este tipo de Malware, por favor no habrán el enlaces que viene adjunto a los mensajes, ya sea SMS, WHATSAPP, TELEGRAM, ETC... Son bots que se generan de forma automática generando una red zombie en cada dispositivo... Lo ideal es borrarlos tan pronto los identifiquen.


.com

  ¿Qué es?También conocido como Google Hacking, es una técnica que consiste en aplicar la búsqueda avanzada de Google pa...
14/08/2022

¿Qué es?
También conocido como Google Hacking, es una técnica que consiste en aplicar la búsqueda avanzada de Google para conseguir encontrar en internet aquella información concreta a base de ir filtrando los resultados con operadores (Los conocidos como dorks).

es una técnica de Osint , y es habitualmente empleado por periodistas, investigadores y por supuesto en el ámbito de la ciberseguridad. Es una técnica muy interesante para la fase de Recon, gracias a ella, se podrán enumerar diferentes activos, buscar versiones vulnerables, conocer datos de interés e incluso encontrar fugas de información del objetivo en cuestión.

Se emplea en seguridad ofensiva y defensiva. Es una habilidad muy recomendable de entrenar para todos los hackers, ya que, se trata de una técnica muy sencilla pero con resultados muy potentes, “solo” conociendo los dorks y como emplearlos de forma óptima se podrá obtener cualquier información que Google haya indexado con sus robots.

¿Que información se puede encontrar?
-Información sobre personas/organizaciones
-Contraseñas
-Documentos confidenciales
-Versiones de servicios vulnerables
-Directorios expuestos
-Y más!

EJEMPLOS:
Buscar PDFs sobre Google Dorking
"Google Dorking" filetype:pdf

Buscar personas que trabajan en una localidad
site:es.linkedin.com intext:localidad

Buscar parámetros que puedan ser vulnerables:
inurl:php?=id1

Buscar subdominios excluyendo el principal
site:*.ejemplo.com -site:www.ejemplo.com

Buscar referencias a un sitio web excluyendo el propio sitio web
intext:derechodelared.com -site:derechodelared.com

Buscar listados de personas en varios formatos de fichero
intext:nombre intext:email intext:DNI (ext:pdf | ext:txt | ext:xlsl | ext:docx) intitle:lista

Buscar programas de Bug Bounty de empresas
inurl:/responsible-disclosure/ bounty

Buscar versiones vulnerables
allintext:powered by ....

Buscar servidores FTP expuestos
intitle:"index of" inurl:ftp

Buscar servicios que corren en el puerto 8080
inurl:8080 -intext:8080

  NÚMERO DE TELÉFONOHay muchos conceptos erróneos sobre el rastreo de números de teléfono, y mucha de la información que...
28/11/2021

NÚMERO DE TELÉFONO

Hay muchos conceptos erróneos sobre el rastreo de números de teléfono, y mucha de la información que hay es incorrecta.

Muchas personas afirman que se puede encontrar la ubicación del teléfono en el mapa a través de su IMEI. No puedes hacerlo, una persona común ¡NO!, sólo con la ayuda de la policía y los servicios especiales.
El IMEI es un número que se da a un teléfono cuando se ensambla. Es único y contiene información sobre cuándo, dónde y quién ha montado el dispositivo. Puedes encontrarlo en la caja de embalaje, en el propio teléfono bajo la batería y en los ajustes. Como alternativa, marcando el código secreto * #06 # y pulsando “llamar” aparecerá en la pantalla.

Cuando el teléfono empieza a sonar, el proveedor de la red móvil lo “ve” exactamente a través de este número y de la señal de la tarjeta SIM. Pero el operador de telefonía móvil no podrá rastrear el teléfono sólo por el IMEI. Sólo las agencias especiales podrán hacerlo, tomarán la información y luego harán su trabajo de investigación.

A.S.I By Asher Wyatt te pedimos de favor, si tienes algún deseo o quieres saber cómo localizar el teléfono a través de IMEI – no se puede hacer por sí mismo, sólo con la ayuda de la policía. Y si has encontrado servicios en Internet que ofrecen rastrear tu teléfono por identidad a cambio de dinero, definitivamente son estafadores. A menos, claro, que tengan acceso a la base de datos de IMEI de los teléfonos robados, lo cual es muy dudoso.

¿Es posible rastrear un teléfono móvil sin instalar un software?. ¡No!, no lo es. Antes de averiguar algo, primero hay que hacer algo: ir, volar, leer, encender, mirar, etc. Lo mismo ocurre con los programas. Antes de poder seguirlo, hay que activarlo. Ya sea en el teléfono o en el objetivo, o en ambos al mismo tiempo. Esto depende del servicio.

La mayoría de las actividades operativas de búsqueda contra los sospechosos habituales se limitan a grabar las conversaciones telefónicas y los mensajes de texto, y ocasionalmente a rastrear la ubicación del abonado.

Las búsquedas de IMEI apenas se utilizan, por ejemplo, los teléfonos ilegales chinos salen con el mismo IMEI en miles de lotes y son ilocalizables.



Dirección

Col. Centro
Chilpancingo De Los Bravos Centro
39000

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando Auditoría De Seguridad Informática By Asher Wyatt publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.

Compartir