lunes, 29 de octubre de 2012

Advisory XSS-ASPMyAdmin 10102012


Advisory ID: OS001

Product: ASPmyAdmin
Created by: Sukalyan Chakraborty
Vulnerable Version(s): NA
Tested Version: NA

Vulnerability Type: Reflected Cross-Site Scripting [CWE-712]
Public Disclosure: October 10, 2012
Vendor status : Notified
CVSS Base Score :5.8
CVSS Temporal Score 5.8
CVSS Environmental Score 7.5
Researcher: Alfredo García, Senior Security Consultant @ Open-sec ( http://www.open-sec.com/ )

Advisory Details :

Alfredo García, Senior Security Consultant at Open-Sec discovered a vulnerability in ASPmyAdmin, which can be exploited to perform Multiple Cross-Site Scripting (XSS) and arbitrary HTML injection attacks.

Vulnerability Description : Multiple Cross-Site Scripting (XSS) in ASPmyAdmin:

ASPMyAdmin includes ASP scripts that fail to adequately sanitize output strings coming from user-supplied input . By leveraging this issue, an attacker may be able inject arbitrary HTML and Javascript code to be executed in a user's browser within the security context of the affected victim.
At least, the following scripts are vulnerable using the dbName parameter through GET :
db_info.asp
db_table.asp
db_view.asp
db_procedure.asp
db_sql.asp
db_drop.asp

Examples of URLs that lead to exploit this vulnerability are :

http://www.host.com/db_table.asp?dbName=<script>alert(document.cookie)</script>
http://www.host.com/db_procedure.asp?dbName=<script>window.alert('Open-Sec')</script>
Impact : Victims are exposed to unwanted content, modified content, redirection to other site and/or content, user's session cookies stealing, browser-based attacks, etc.

Solution:

To fix this kind of vulnerability (XSS), you colud establish a web application firewall, but, actually, you must validate all output strings. You must validate that the output is the type, length and format are the expected ones. For more information on prevention, visit :https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

Also, check out the following link to implement web application security based on ESAPI
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

Contact Information : For additional details, feel free to contact Alfredo Garcia at agarcia@open-sec.com


About Open-Sec : 

Open-Sec is a Perú based company focused on penetration testing and security incidents investigation services. With customers at Perú, Ecuador, Panamá and Honduras, Open-Sec provides consulting services through a team of certified and experienced consultants.

Disclaimer: The information provided in this Advisory is provided "as is" and without any warranty of any kind. Details of this Advisory may be updated in order to provide as accurate information as possible. 

martes, 9 de octubre de 2012

Webminar : Implantación y certificación de la norma PCI DSS




Open-Sec , en alianza con  Internet Security Auditors tiene el agrado de invitarlos al webminar "Implantación y certificación de la norma PCI DSS"

Instituciones y organizaciones que almacenen, procesen y/o transmitan información de titulares de tarjetas, debe cumplir la norma PCI DSS, para evitar fraudes o robos de información confidencial. El webminar tiene como objetivo brindar el marco general de la norma, el proceso de implementación y su posterior certificación.

A continuación los detalles de la charla:

Horario
23 de octubre de 2012, 10:00 a.m. Lima (17:00 CET) - 11:30 a.m. Lima (18:30 CET)

Temario

10:00 Bienvenida al webinar
  10:05 Introducción a PCI DSS
              i) ¿Qué es PCI DSS?
              ii) Otras Normas PCI: PA-DSS, P2PE, PTS
              iii) Aplicabilidad
              iv) Programas de Cumplimiento de las Marcas
  10:25 Implantación PCI DSS (40 minutos)
             i) Proceso de Implantación
             ii) Ámbito de Cumplimiento (Scope)
             iii) Técnicas de reducción del Ámbito
                 a. Eliminación
                 b. Segmentación
                 c. Tokenización
                 d. P2PE
  11:00 Certificación PCI DSS
              i) Proceso de auditoría
              ii) Mantenimiento de la certificación
  11:15 Turno de preguntas
  11:30 Fin del webinar

Ponente
Miguel Ángel Domínguez

Biografía:
Miguel Ángel Domínguez es socio y co-fundador de Internet Security Auditors, y dirige el departamento de Consultoría que lidera los proyectos de implantación de la norma PCI DSS. Ha desarrollado su carrera profesional en el ámbito de la auditoría y la consultoría de seguridad de sistemas de información, colaborando en la metodología OSSTMM que se ha convertido en estándar de auditoría para pentesting. Está certificado PCI QSA, PA QSA, CISA, CISSP, ISO27001 Lead Auditor Instructor, CGEIT, SBCI y OPST. Es Licenciado en Ingeniería Informática por la Universidad Autónoma de Barcelona y Máster en Seguridad TI y Comercio Electrónico por La Salle.

Para registrarse al evento , escribir a : info@open-sec.com

viernes, 14 de septiembre de 2012

Meses de eventos internacionales para Open-Sec


A pesar de la dinámica del día a día de los proyectos y nuestra constante falta de tiempo, siempre tratamos de participar en eventos, a los cuales tenemos el gusto y honor de ser invitados.

Sin embargo este mes en particular nos ha tocado una agenda bastante interesante, en cuanto a participación a eventos se refiere,  ya que en esta oportunidad,  nos  toca  tener  presencia  fuera de nuestras fronteras e inclusive, en el continente vecino.






Campus Party Quito 2012 se realizará del 19 al 23 de septiembre en el Centro de Exposiciones  y Convenciones Mitad del Mundo, Cemexpo, donde se darán cita campuseros de todos los rincones del país.
Cabe señalar que Campus Party es el acontecimiento de Internet mas importante del mundo en las áreas de Innovación, Creatividad, Ciencia y Ocio Digita y se desarrolla actualmente en mas de 8 Países alrededor del Mundo.
El evento espera recibir a más de 2,500 personas, y  contará con charlas y exposiciones sobre  ciencia, cultura digital, innovación, desarrollo de video juegos, entre otros.
En esta oportunidad Open-Sec  participará  en el  área de  Seguridad y Redes con dos charlas:

- Convirtiendo un browser en una herramienta de Hacking ,
La cual estará a cargo de Walter Cuestas
(@wcu35745) Actual Gerente General y co-fundador de Open-Sec.

- Hackeando Cajeros automáticos, desde el punto de vista de un pentester
Dirigida por Mauricio Urizar
(@MauricioUrizar) , consultor sénior de la empresa.

También desarrollaremos, un taller sobre nmap , en donde se verán técnicas para el escaneo de puertos y servicios, análisis de vulnerabilidades y explotar como explotarlas.

La lista completa de charlas y ponentes la pueden encontrar aquí :







Este año dos grandes e importantes eventos se juntan, VoIP2Day + ElastixWorld, convirtiéndose en una cita obligatoria para miles de profesionales del sector de la telefonía y comunicaciones en todo el Mundo.

VoIP2Day + ElastixWorld se llevará a cabo los días 25,26 y 27 de Septiembre en la Feria  IFEMA : en Madrid, España

En donde Juan Oliva (@jroliva) consultor de Opens-Sec , participará con la charla :

- Ethical hacking a plataformas Elastix


La lista completa de charlas la pueden encontrar aquí :





Esto sin duda nos llena de orgullo y felicidad,  a todos los que conforman el equipo de Open-Sec, ya que seremos los únicos peruanos en participar en el Campus Party Quito 2012  y en el caso  VoIP2Day y ElastixWorld 2012 el único peruano hablando de ethical hacking en Europa, algo que no se habia presentado, desde hace mucho tiempo.

jueves, 30 de agosto de 2012

Memorias del Open-Sec Ethical Hacker – Lima 2012 (Agosto)



Tal como fue anunciado el pasado 17,18 y 19 de agosto realizamos nuestro entrenamiento intensivo en Ethical Hacking (OSEH) , en esta oportunidad abierto para el público.

Fue una jornada muy intensa, durante las 24 horas de entrenamiento, hubo mucha participación durante los retos y trabajo en equipo.

Queremos compartirles algunos comentarios recogidos, los cuales demuestra la madurez de nuestra propuesta de entrenamiento y hace nuestra certificación válida, no solo a nivel nacional, si no también internacional.

Testimonios :




Este es un correo de un participante, el cual apreciamos mucho, ya que no solo manifiesta los aspectos  diferenciales de nuestro curso, si no también elementos, que tenemos que seguir mejorando del mismo.




Algunas imágenes del curso:


miércoles, 29 de agosto de 2012

Open-Sec realiza entrenamiento para la Marina de Guerra del Perú

En esta oportunidad tuvimos el honor de ser elegidos, para realizar entrenamiento en Ethical Hacking para la Marina de Guerra del Perú.



Durante mas de 40 horas, personal de la Marina recibió adiestramiento en tecnicas de Pentesting, tales como:

* Scripting para pentesters
* Footprint
* Escaneo de servicios y vulnerabilidades
* Explotación de vulnerabilidades web,
* Uso de frameworks de exploits
* Y técnicas de ataques informáticos.


domingo, 5 de agosto de 2012

Entrenamiento OSEH en ESPOL Ecuador


Durante los días 29, 30 Junio y 01 de Julio del presente, estuvimos nuevamente en Guayaquil con el objetivo de dictar el curso Open-Sec Ethical Hacker como parte del programa de estudio de la Maestria de Seguridad Informática Aplicada dictada en la ESPOL (Escuela Superior Politécnica del Litoral).

El curso duró 3 dias full day en donde impartimos entrenamiento intensivo en tecnicas de hacking, retos al estilo de los famosos capture of the flag.

El entrenamiento tuvo gran aceptación y los participantes demostraron mucho entusiasmo e interés. Fruto del curso tuvo 43 nuevos certificados como Open-Sec Ethical Hacker.

Algunos comentarios de los participantes :








También algunas fotos :





Y donde está Mauricio Urizar ???



miércoles, 18 de julio de 2012

Open-Sec Ethical Hacker – Lima 2012

Debido a algunas solicitudes, decidimos lanzar nuevamente nuestro curso de entrenamiento Open-Sec Ethical Hacker (OSEH) para el mes de agosto del presenta año, a continuación algunos alcances del mismo.



El curso de Ethical Hacking @ 2012 esta definido en base a metodologías como OSSTMM, OWASP, ISSAF y con los tópicos mas importantes de programas de certificación como C|EH (Certified | Ethical Hacker), GPEN (GIAC Certified Penetration Tester), OSCP (Offensive Security Certified Professional), C)PTE (Certified Penetration Tester Engineer)  y la experiencia propia de los consultores en diversas empresas en Latino América que, además, cuentan con la certificaciones de más prestigio en Ethical Hacking : C|EH,  GPEN, OSCP y C)PTE.

La dinamica del curso es 95% practica y se basa en la utilización de técnicas y herramientas en ejercicios individuales y grupales denominados retos o Capture the Flag donde los participantes obtienen puntajes por penetrar los sistemas objetivos colocados por los instructores y los sistemas de los otros participantes.  El puntaje obtenido se suma al que obtengan en el examen que se realiza al finalizar el curso para obtener la certificación de Open-Sec Ethical Hacker.


OBJETIVOS
Luego del curso el alumno será capaz de

- Utilizar las técnicas de los “hackers” cuando atacan servidores y clientes a través de Internet.
- Tener el conocimiento necesario para realizar una  prueba de penetración.
- Utilizar en forma práctica las herramientas que se utilizan en un proceso de Ethical Hacking.
Conocer las metodologías OSSTMM y OWASP.
- Formar parte el exclusivo grupo de personas certificadas como Open-Sec Ethical Hacker (actualmente se encuentran certificadas más de 335 personas en Perú, Ecuador y Honduras).

Más información en : http://www.open-sec.com/OSEH2012/


Algunas ediciones anteriores  :
OSEH en Tarapoto-Perú : http://ehopen-sec.blogspot.com/2010/07/oseh-en-tarapoto.html
OSEH en Guayaquil-Ecuador :  http://ehopen-sec.blogspot.com/2010/11/oseh-en-ecuador.html
OSEH en HONDURAS :  http://ehopen-sec.blogspot.com/2010/12/oseh-honduras.html

Más información sobre la certificación OSEH





jueves, 5 de julio de 2012

II Reto Forense Digital Sudamericano – Perú Chavín de Huantar 2012

Por segundo año ISSA Lima, Perú Chapter esta realizando el Reto Forense Digital Sudamericano – Perú Chavín de Huantar, invitando a los responsables de la seguridad informática, auditores, administradores de redes, sistemas, estudiantes y público interesado de los países de Bolivia, Brazil, Colombia, Chile, Ecuador, Panamá, Paraguay, Perú, Argentina, Uruguay y Venezuela a participar en el "II Reto Forense Digital Sudamericano - Perú Chavín de Huantar 2012".

El reto consiste básicamente en analizar las imágenes de un sistema comprometido y presentar un informe con la información requerida en el escenario supuesto.

Estos informes pasaran por una evaluación del jurado, del cual formo parte, y se reconocerá públicamente a los tres mejores informes en el evento por el "Día Internacional de la Seguridad de la Información - Perú DISI 2012″. Los trabajos serán revisados por un panel de expertos.

Asimismo, todos los análisis serán publicados como aporte a la comunidad en seguridad informática.

Para mayor información :

http://issaperu.org/?p=1067

martes, 12 de junio de 2012

Hacking Day Open-Sec en ICA


El pasado 09 de junio , tuvimos el gusto de ser invitados por la Universidad Privada Alas Peruanas de ICA , a una rueda de charlas de seguridad, con temas como Google Hacking , Seguridad en Aplicaciones web, Hacking a cajeros automáticos , Hacking Voip , las cuales estuvieron a cargo de los consultores senior: Mauricio Urizar @MauricioUrizar , Jhon Vargas @John_Vargas , Alfredo Garcia @garciacajo y Juan Oliva @jroliva




El evento tuvo mucha acogida y esperamos volver pronto , aquí algunas fotos :







viernes, 8 de junio de 2012

GuayaquilHack 2012

Hoy en día abundan los eventos de seguridad, cada vez más se tienen eventos de in-seguridad y también hay mucha oferta de entrenamientos de hacking.  Nosotros mismos tenemos uno llamado OSEH que promovemos de alguna forma, pero, hace tiempo queriamos hacer dos talleres de tipo avanzado e introducir uno nuevo.

Los talleres avanzados corresponden a Web Application Hacking y Exploit Development.  El introductorio corresponde a Computación Forense.

Decidimos lanzarlos en Guayaquil porque estaremos dictando 2 cursos de Ethical Hacking en la ESPOL (como todos los años) y lo denominamos GuayaquilHack 2012 porque esperamos que sea el inicio.

Como dicen, las imágenes valen más que mil palabras :




lunes, 30 de abril de 2012

Seminario de Ethical Hacking Ninjahack


El pasado 25 de Abril OPEN-SEC en alianza estratégica con ADIESTRA, desarrolló el Seminario de Ethical Hacking "Ninjahack", para los ganadores durante el evento "Cyber Security Government 2012" , durante el seminario se pudieron ver temas como :

- Estándares y metodologías
- Información sobre certificaciones
- Mecanismos para Footprint
- Herramientas de Google Hacking
- Tipos de escaneos de puertos y como realizarlo de manera efectiva
- SQL Inyection , teoría, técnicas y demostraciones
- Torneo de Hacking



martes, 17 de abril de 2012

Open-Sec presente en el Cyber Security Government 2012


Exitosa fue la participación de Open-Sec durante el evento que se desarrolló el pasado jueves 12 de abril, con la ponencia "Los TOP 10 de vulnerabilidades y ataques en las entidades del Gobierno Peruano" donde se brindaron detalles sobre los ataques más representativos a los organismos del Perú, el cual estuvo a cargo por Walter Cuestas (@wcu35745) - Gerente General de Open-Sec



Así mismo Open-Sec en alianza con Adiestra , sortearon a los participantes, entradas de participación al "Seminario de Ethical Hacking" a desarrollarse el próximo 25 de Abril.

Finalmente, tuvimos la oportunidad de fraternizar con amigos como Leonardo Pigñer ( @KFS ) de BASE4 Security,  así como otros grandes amigos , con los cuales pudimos departir durante el almuerzo.




lunes, 2 de abril de 2012

Explotando Vulnerabilidad en FreePBX 2.10

En el marco del Primer seminario de PER Systems como ATC de Mile2   realicé una charla titulada "Hacking Voip" , debido a esto ejecuté la demostración de explotación, de una vulnerabilidad reciente (en ese momento) en la aplicación web "Freepbx" y que afecta a las versiones 2.10

Este exploit fue publicado en exploit DB (http://www.exploit-db.com/exploits/18650/ ) el 23/03/2012
En este caso la vulnerabilidad es de tipo “Remote Code Execution Exploit” , es decir inyecta código en una pagina no autentificada de Freepbx, determinadas  variables que generan la ejecución de sentencias del sistema operativo vía la función  “system” de asterisk , lo cual genera una conexión reversa desde el host atacado hacia el host del atacante vía el puerto 443.

La vulnerabilidad es posible explotar, bajo estas condiciones :

- Tener abierto el entorno de administración (80 y/o 443)
- Conocer el numero de alguna extensión del host atacado
- Tener activado el Voicemail de la extensión atacada.

El siguiente vídeo muestra como explotar esta vulnerabilidad



Para parchar la vulnerabilidad es necesario ejecutar el comando : yum update freePBX

Saludos
Juan Oliva

Primer seminario de PER Systems como ATC de Mile2

Con motivo del anuncio de la realización del primer curso de certificación C)PTE , se desarrolló pasado jueves 29 de Marzo, el primer seminario de Ethical Haking organizado por  PER Systems en su calidad de ATC de Mile2.

En el cual participaron los Consultores Senior de Open-sec e instructores autorizados por Mile2,  Mauricio Urizar  con el tema  "Hacking de cajeros Automáticos"  y Juan Oliva  con  "Hacking Voip"  respectivamente.




Finalmente Walter Cuestas, Gerente General de Open-sec , dio a conocer  el "Course road map" de certificaciones de Mile2. las cuales se brindarán próximamente en el Perú.

sábado, 17 de marzo de 2012

Webminar Scripting para Pentesters

Open-Sec y PER Sytems S.A, en  su calidad de Centros autorizados de Entrenamiento de Mile2,  han organizado el próximo viernes 30 de marzo del 2012 a partir de las 17:00pm, (hora Lima-Perú)  un seminario online "webminar" titulado  "Scripting para Pentesters"




"Cualquier persona dedicada al ethical hacking o pentesting utilizará, en alguna etapa de su labor, herramientas que han sido desarrolladas en base a lenguajes scripting y muchas veces no funcionan como se esperan, como dice la documentación, o se hacer más de lo que la herramienta lo permite. esto implica tener conocimientos de bash, batch, Python, Rubi, PHP, Perl...etc.

Sin embargo, los conocimientos que requiere un pentester para corregir,  modificar o ampliar un programa pueden  ser mas simples y eso es lo que el webminar demostrará a través de ejemplos diversos  con herramientas usadas a lo largo de las etapas de un pentesting"

Mas información e inscripciones en :  http://www.persystems.com/mile/Webminar%20Scripting.htm



Actualización 02/04/2012 
Con mucho éxito se desarrollo el webminar , a continuación la presentación del evento :

domingo, 11 de marzo de 2012

Open-Sec ahora Centro Autorizado de Entrenamiento de Mile2

Es un gusto anunciarles que Open-sec ahora es Centro Autorizado de Entrenamiento (ATC) de Mile2, distinción lograda debido a contar con un staff de consultores certificados por esta institución.




Mile2 es una empresa que diseña, desarrolla y ofrece formación en seguridad y servicios de seguridad de la información, que cumplen con las exigencias de instituciones militares, gobierno y sector privado.
De este modo, mile2 ha convertido en el estándar de facto para las empresas y organizaciones militares en todo el mundo. Cuenta con oficinas en los EE.UU., Reino Unido, Oriente Medio y Asia.

Open-sec , ahora podrá impartir entrenamiento conducente de las mas importantes certificaciones de la industria como son :




Muy pronto, se organizarán los primeros cursos de certificación.