Lista de payloads para inyecciones XXE (XML External Entity)

A estas alturas ya todos sabéis que XML External Entity Injection (también conocido como XXE) es una vulnerabilidad web que permite que un atacante interfiera en el procesamiento de datos XML de una ...


penetration test

Cómo mejorar la seguridad de un hosting con WordPress

En la actualidad más del 34% de todo Internet está utilizando WordPress como gestor de contenidos, un proyecto Open Source que comenzaba en 2003 y que gracias a una vibrante comunidad de cientos de ...


programación segura seguridad web

Gobierno de la Seguridad de la InformaciónCURSO - 16 hs.

Curso teórico práctio orientado a capacitar a los asistentes en la protección de la información y los activos de la organización, siguiendo los estándares, mejores prácticas y metodologías de la norma ISO/IEC 27001. En la práctica se apuntará a la creación de una política estándar de seguridad de la organización.

Investigación y protección contra el malware y el cibercrimenCURSO - 24 hs.

Curso teórico práctico orientado a conocer los distintos tipos de malware actuales y cómo los cibercriminales organizados en grupos delictivos realizan su desarrollo y lo utilizan contra los usuarios de Internet para generar ganancias económicas.

Suscripciones

No te pierdas de ninguna de nuestras actualizaciones diarias!

Cursos

Obtené mas información

Servicios

Educación

Ante la necesidad constante de capacitación en una organización es indispensable contar con un plan educativo estratégico que alcance aquellas áreas relacionadas con el uso de tecnologías.

La posibilidad de desarrollar este plan dentro de la empresa tiene como ventajas principales evitar el desplazamiento de las personas para acceder a las capacitaciones así como también poder coordinar con cada una de las áreas afectadas el momento oportuno para llevar adelante cada curso.

Penetration Test & Ethical Hacking

Los sitios y aplicaciones web son sensibles a ataques para vulnerar la información almacenada en los mismos. OWASP Top 10 es una lista de las 10 vulnerabilidades más comunes encontradas en aplicaciones web y los errores de programación que generan dichas vulnerabilidades.

Este servicio abarca tanto la óptica de infraestructura, como así también todos los procesos funcionales relacionados a la seguridad de la información, todo esto tomando como base la Norma ISO 27002, COBIT, OSSTMM, ISSAF, PCI y OWASP.

Análisis y Revisión de Aplicaciones y Sitios Web

El análisis de aplicaciones web es una herramienta fundamental para diagnosticar y determinar el nivel de vulnerabilidad y exposición que poseen las distintas aplicaciones web con las que cuenta una organización.

El objetivo primordial de este tipo de análisis es lograr vulnerar de manera controlada las debilidades de las aplicaciones y recomendar las soluciones más apropiadas.

Hardening de Plataformas Tecnológicas

El fortalecimiento de plataformas es uno de los desafíos más importantes en las áreas de tecnología de la información.

Con el fin de obtener la máxima funcionalidad de estas tecnologías, manteniendo al mismo tiempo un alto nivel de seguridad de la información, es importante para la organización de someterse a una evaluación y refuerzo de cada uno de los componentes involucrados.

Planes de Capacitación y Concientización

La educación y la concientización de usuarios en seguridad es uno de los controles fundamentales que debe llevar adelante toda organización para evitar ataques que no pueden ser detectados a través de herramientas tecnológicas y automáticas.

La creación de un plan de concientización contempla la capacitación en el cuidado de la información adaptado a todos los niveles de usuarios y el seguimiento en su implementación y adecuación a la política organizativa.

Asesoriamiento Técnico y Jurídico

Son cada vez más numerosos los casos donde se afectan los derechos de las personas a través de la utilización de perfiles falsos o anónimos. Sin embargo, es posible realizar una investigación dirigida a intentar determinar el verdadero autor de los contenidos que lo afectan o a dar de baja el perfil falso.

En caso de sospechar o tener la certeza de estar siendo víctima de algún tipo de delito informático (hacking, cracking, denegación de servicios, fraude electrónico, etc.) o bien de algún problema de utilización indebida de imá(...)

Red y Blue Team

Preparación de ejercicios de simulación y entrenamiento diseñados para identificar vulnerabilidades de seguridad en la infraestructura y servicios de la organización.

Los Red Team realizan ataques para probar la efectividad de las medidas de seguridad y se emulan comportamientos y técnicas de ataque de la manera más realista posible. Los Blue Team se encargan de la vigilancia constante contra los ataques de los Red Team, en busca de perfeccionamiento en las técnicas de defensa y protección.

Se plantean modelos de segurid(...)

Análisis de aplicaciones Móviles y Cloud Computing

Las aplicaciones móviles o que se ejecutan en la nube son sensibles a nuevos vectores de ataques que buscan comprometer la información sensible de la organización. OWASP Mobile Security Project, OWASP Proactive Controls y Cloud Security Alliance (CSA), entre otros ofrecen una lista de vulnerabilidades y controles comunes encontradas en aplicaciones móviles y alojadas en la nube.

Este servicio abarca tanto la óptica de infraestructura, como así también todos los procesos funcionales relacionados a la seguridad de la información(...)

Implementación de mejores prácticas de Seguridad

Implementar en forma ágil y sencilla mejores prácticas internacionales (tales como ISO 27001 -Sistema de Gestión de Seguridad de la Información-, ISO 27017 -Controles de Seguridad para Servicios Cloud-, ISO27018 -Protección de la Información Personal en la Nube-, ISO 22301 -Gestión de la Continuidad de Negocio-, entre otras), políticas de AWS/Azure/Google y locales (tales como las emitidas por el BCRA -Banco Central de la República Argentina)

Estas normas proporcionan un marco para la gestión continua de los riesgos tecnológicos,(...)

Foro-SI

Todas las opiniones y dichos vertidos son responsabilidad de sus autores y Segu-Info no se responsabiliza de los mismos. Para más información consulte el Aviso Legal y la Política de Privacidad.

Si Ud. considera que se viola la legislación vigente o cualquier principio de buenos usos y costumbres, por favor póngase en contacto con nosotros.

Ver todas las consultas

Blog

Ingresá a leer todas las Noticas sobre Seguridad Informática en Español

penetration test

Lista de payloads para inyecciones XXE (XML External Entity)

penetration test 05/12/2019

A estas alturas ya todos sabéis que XML External Entity Injection (también conocido como XXE) es una vulnerabilidad web que permite que un atacante interfiera en el procesamiento de datos XML de una...

programación segura

Cómo mejorar la seguridad de un hosting con WordPress

En la actualidad más del 34% de todo Internet está utilizando WordPress como gestor de contenidos, un proyecto Open Source que c...

cloud computing

Vulnerabilidad permitía tomar control de cuentas de Azure

cloud computing 04/12/2019

Investigadores de CyberArk descubrieron una vulnerabilidad crítica en Microsoft Azure llamada BlackDirect" que permitía a los at...

atacantes

Europol cierra las operaciones de Imminent Monitor RAT con 13 arrestos

atacantes 04/12/2019

En una operación internacional coordinada de aplicación de la ley, Europol anunció hoy el cierre de la red mundial de ciberdeli...

APT

Defense Chain (DC) vs Kill Chain (KC)

APT 03/12/2019

Ya hemos hablado varias veces de Kill Chain (KC), el modelo creado por Lockheed Martin basado en las etapas por las que tiene que ...

opinión

Pronóstico de ciberseguridad 2020 para América Latina

opinión 03/12/2019

El año 2019 confirmó la relevancia de la ciberseguridad en entornos corporativos, presentando fugas de datos en donde millones d...

fuga información

Expuestos 100 millones de usuarios y sus mensajes de SMS

fuga información 03/12/2019

El equipo de investigación de vpnMentor descubrió una base de datos perteneciente a la compañía de comunicaciones estadouniden...

criptomoneda

Cierra OneCoin, el esquema Ponzi que estafó por U$S4,4 mil millones

criptomoneda 02/12/2019

El sitio web del esquema Ponzi de criptomonedas OneCoin finalmente dejó de funcionar, meses después de que las autoridades de Es...

APT

Threat Hunting: descubrimiento de TTP [III]

APT 02/12/2019

En la primera parte de esta serie de Threat Hunting, La Pirámide del Dolor, discutimos las seis categorías de Indicadores de Co...

herramientas

Kali Linux 2019.4 incluye Xfce y modo "undercover"

herramientas 02/12/2019

Offensive Security avaba de lanzar Kali Linux 2019.4, la última versión de la plataforma Penetration Test. La nueva versión inc...

internet

Sir Tim Berners-Lee publica Contrato para salvar Internet de una "distopia digital"

internet 01/12/2019

El inventor de la web, Sir Tim Berners-Lee, está tan preocupado de que su creación de 30 años se esté convirtiendo en una "dis...

estadísticas

Sólo el 2% de las PyMEs considera la ciberseguridad como un riesgo

estadísticas 30/11/2019

Las grandes corporaciones gastan cientos de miles, a menudo millones, de dólares en ciberseguridad, pero cuando se trata de peque...

fuga información

MarketPlace de Magento expone información de usuarios tras una brecha de seguridad

fuga información 29/11/2019

Adobe, compañía propietaria de la plataforma de comercio electrónico Magento, reveló en el día de ayer una brecha de segurida...

actualidad

Hospital de Aruba "secuestrado" por un ransomware

actualidad 29/11/2019

La madrugada del lunes 18 de noviembre de 2019 la red completa del Hospital de Aruba fueron afectados por un ransomware. Todos los...

APT

Threat Hunting: Ciclos de Cacería [II]

APT 29/11/2019

En la primera parte de esta serie (Threat Hunting: La Pirámide del Dolor [I]), discutimos las seis categorías de Indicadores de ...

fuga información

Fuga de información de empleados de Palo Alto Networks por parte de un proveedor

fuga información 29/11/2019

La empresa Palo Alto Networks, importante firma de seguridad con sede en California, EE.UU., ha sido víctima de una brecha de dat...

infosec

Vulnerabilidad crítica en Jira afecta implementaciones en la nube

infosec 28/11/2019

Palo Alto Networks reporta una vulnerabilidad crítica del lado del servidor (Server-Side Request Forgery) en Jira en la version a...

penetration test

Lista de "Malditas aplicaciones vulnerables" para jugar con el pentesting

penetration test 28/11/2019

Esta lista es una compilación de los diversos tipos de aplicaciones que intencionalmente inseguras y conocidas popularmente como ...

APT

Threat Hunting: La Pirámide del Dolor [I]

APT 28/11/2019

Basado en "The Pyramid of Pain" originalmente desarrollada por David Bianco El 18 de febrero, Mandiant publicó su informe sobre A...

actualidad

Prosegur afectado por un ransomware

actualidad 27/11/2019

Durante la mañana de hoy Derecho de Red y varios canales de Telegram se hicieron eco de comunicados que confirmaban que Prosegur ...

penetration test

Tácticas CNA (Computer Network Attack)

penetration test 27/11/2019

Dentro las operaciones CNO (Computer Network Operations) encontramos tres tipos de capacidades o acciones: CND, CNA y CNE (Defensa...

actualidad

Google despide empleados por supuesta violación de datos

actualidad 27/11/2019

Google despidió a cuatro empleados alegando que habían violado sus políticas de seguridad de datos, aumentando la tensión entr...

gigantes

Vulnerabilidad en Fortinet: utiliza cifrado XOR débil y claves estáticas

gigantes 26/11/2019

Investigadores de seguridad de SEC Consult Vulnerability Lab descubrieron que varios productos de seguridad de Fortinet utilizan c...

infosec

ATFuzzer: interceptar comunicaciones en Android a través de BlueTooth [Paper]

infosec 26/11/2019

Investigadores de la Universidad de Purdue y Iowa han descubierto que varios teléfonos Android populares pueden ser engañados pa...

e-banking

Ginp, malware para Android con bancos españoles como objetivo

e-banking 26/11/2019

El malware Ginp se creó hace solo unos meses y forma parte de una campaña centrada en España. Luego de instalado en el teléfon...

Con más de 19 años de experiencia compartiendo la mejor información de Seguridad

Contacto