Feed aggregator

Our first post regarding Mutillidae can be found here. A few hours ago an update – Mutillidae version 2.1.19 – was released. “Mutillidae is a free, open source web application provided to allow security enthusiest to pen-test and hack a web application. Mutillidae can be installed on Linux, Windows XP, and Windows 7 using XAMMP making [...]

UPDATE: Mutillidae 2.1.19! is a post from: PenTestIT

WebVulScan is a web application vulnerability scanner. It is a web application itself written in PHP and can be used to test remote, or local, web applications for security vulnerabilities. As a scan is running, details of the scan are dynamically updated to the user. These details include the status of the scan, the number [...]

webvulscan: Web Application Vulnerability Scanner is a post from: PenTestIT

FlexNet License Server Manager Stack Overflow In lmgrd

Pro-face Pro-Server EX WinGP PC Runtime Multiple Vulnerabilities

¿Podrá La ley Sinde-Wert cerrar SeriesYonkis? ¿Y SeriesPepito? ¿Y las más de 500 páginas similares? ¿Cómo está afectando la nueva ley a estos sitios de enlaces? ¿Qué medidas se pueden tomar? ¿Las han tomado ya? Estas preguntas trataba de responder hace ya un año en la siguiente entrada: Monitorizando La Ley Sinde - ¿Hasta donde pueden llegar? Un año después, vamos a ver los cambios.
Para este propósito he actualizado la herramienta que construí la vez anterior y añadiendo una nueva variable: páginas que ya no existen.
Una vez puesta en marcha, los resultados son bastantes curiosos, de las 517 páginas un 11% han cerrado y ni si quiera el dominio se ha renovado.
También hay muchas de ellas que han tomado medidas para defenderse cuando sean atacadas. Como hizo SeriesYonkis clonando su dominio.
La siguiente gráfica muestra los resultados finales. Un 33% de páginas pueden ser cerradas rápidamente por mantener alguno de sus componentes críticos en España (DNS o proveedor de acceso), un 58% están completamente fuera y requerirán coordinación con otros gobiernos y un 11% ha desaparecido.



¿Es esto no una victoria de la aplicación de la Ley? Realmente no queda claro, si analizamos los datos del resultado del año pasado, se observa que el 65% de estas páginas no estaban sometidas a la ley directamente, ya que se alojaban fuera.
Otro dato interesante es que ninguna de las webs cerradas tenía un "rank" alto en Alexa, lo que indica que apenas eran populares o tenían tráfico. Para hacernos una idea SeriesYonkis.com está en la posición 2.014 del mundo, nuestro modesto blog en la 121.234 y el más alto de todos los suprimidos en la 257.696.
Los números cambian radicalmente si tan solo se estudian las 122 páginas que se han filtrado por ser los objetivos de la famosa Ley, ya que el 63% de ellas están fuera del territorio nacional.



Las páginas de enlaces de la lista negra que han desaparecido son:  bitpirata.com
conemule.com
conexión24h.com
cowboysdelared.es
estrenosdt1.com
mundonds.net
torments.net


Las páginas que han cerrado del listado original que creamos: a3magazine.com  
barriop2p.com
bitpirata.com
cinemula.com
cinepelis.com
conemule.com
descargasdirectasatope.com
descargasmix.com
dexcarga.org
divoox.com
divxendirecto.com
eliculas21.com
eliteclasicos.com
emutotal.com
estrenosonline.biz
gratispeliculasonline.com
guretorrents.com
hispatorrents.org
ironcine.com
irontorrent.com
locurands.org
mazodivx.com
miselinks.com
mooseries.com
nernsoong.net
okpeliculas.net
pasalaweb.com
pcestrenos.com
peliculaon.com
peliculas-online.cc
pelis-sevillistas56.net
portalestrenos.com
quecanal.com
realfilmz.com
seriestube.net
seriesypelisonline.com
taquillaspa.com
todogratisonline.net
torments.net
verpeli.net
viciopando.com
viciowarez.com
wuapi.com
miserie.es
onlinepelis.es
paginas-infantiles.iespana.es
peliculasflv.es
toptorrent.es
lanzamientosmp3.es
docutube.es
cowboysdelared.es
cantabriatorrent.es
animenojutsu.es
cineyoutube.es

Galette (picture.php) SQL Injection Vulnerability

Our first post regarding Skipfish can be found here. We now we have an update! The latest release is Skipfish version 2.04b! “Skipfish is a fully automated, active web application security reconnaissance tool. Its key features: High speed: pure C code, highly optimized HTTP handling, minimal CPU footprint – easily achieving  2000 requests per second with responsive  targets. Ease of use: heuristics to support a variety of quirky web frameworks [...]

UPDATE: Skipfish-2.06b! is a post from: PenTestIT

Free Realty v3.1-0.6 Multiple Vulnerabilities

Viscacha Forum CMS v0.8.1.1 Multiple Vulnerabilities

Proman Xpress v5.0.1 Multiple Vulnerabilities

Travelon Express CMS v6.2.2 Multiple Vulnerabilities

Hyperion: Implementation of a PE Crypter

Belkin N150 Wireless Router Password Disclosure

PHP 5.4 (5.4.3) Code Execution (Win32)

• La noticia de la semana, sin duda, ha sido la publicación de más de 55,000 cuentas de Twitter mediante 5 posts en pastebin. Al final resultaron ser, en su mayoría, cuentas utilizadas para SPAM o cuentas ya deshabilitadas, pero se encontraban algunas funcionales, como la del actor Mark Ruffalo que encarna a Hulk en la última película de los Vengadores.
• Se presenta Passfault, el proyecto OWASP que evalúa la fuerza de contraseñas con precisión suficiente para predecir el tiempo a poder crackearse. Permite  hacer mucho más intuitiva y sencilla la creación de contraseñas y políticas de contraseñas.
• Abierto el Call For Papers (Solicitud de ponencias) para la BreakPoint 2012, que se celebra en Australia el 17 y 18 de Octubre. Justo a los tres días siguientes, también en Australia, recordamos que se celebra la RuxCON por los mismos organizadores, pero con un talante un poco más especializado.
• Bitcoinica, una página de comercio de Bitcoin creada por Zhou Tong de 17 años, ha sido cerrada debido a que se están llevando a cabo una serie de investigaciones de seguridad. Se cree que se ha podido robar casi 18,000 BTC (equivalentes a más de 68,000 euros), tras que el creador comenzó a notar transferencias sospechosas.
• Vulnerabilidad en node.js, en versiones anteriores a la 0.6.17, permitiendo la fuga de información.
• Publicada la versión 0.11 de Tails, la distribución enfocada a anonimizar al máximo nuestras tareas de navegación promovida por el proyecto Tor, y de la que ya os hablamos en este post. Muchas mejoras y nuevas funcionalidades.
• Una actualización del sistema operativo Lion de Apple, la 10.7.3, expone en claro la contraseña de cifrado de los usuarios que utilizan la aplicación FileVault.
• Demostración en video de la vulnerabilidad CVE-2012-1675, correspondiente con el TNS Poison de Oracle de Joxean Koret.
• Adrián Bravo en Security Et Alii nos presenta dos entornos para realizar pruebas de hacking web, concretamente de Inyección SQL y XPath/XML Injection, SQLol y XMLmao respectivamente.

Several vulnerabilities have been discovered in FFmpeg, a multimedia player, server and encoder. Multiple input validations in the decoders/ demuxers for Westwood Studios VQA, Apple MJPEG-B,...

Our first post regarding Subterfuge can be found here. Recently, an update – Subterfuge Beta 2.1 – was released. “Subterfuge is a framework to take the arcane art of Man-in-the-Middle attack and make it as simple as point and shoot. It demonstrates vulnerabilities in the ARP Protocol by harvesting credentials that go across the network, and [...]

UPDATE: Subterfuge Beta 2.1! is a post from: PenTestIT

Our first post regarding OWASP Mantra can be found here. A few days ago, an update – OWASP Mantra Security Toolkit 0.91 Beta Lexicon has been made available to us. “OWASP Mantra is a collection of free and open source tools integrated into a web browser, which can become handy for students, penetration testers, web application developers,security professionals [...]

UPDATE: OWASP Mantra Security Toolkit 0.91 Beta Lexicon! is a post from: PenTestIT

Our first post regarding FiletypeID can be found here. A few hours ago, an update – FiletypeID version 0.2.0 – was released. “FiletypeID is a tool designed to identify file types from their binary signatures. This simple application can help you to: identify what kind of file was sent to you via e-mail, aid in forensic [...]

UPDATE: FiletypeID 0.2.0! is a post from: PenTestIT

Many times error messages can be quite the confusing experience in the Windows operating system, mostly because they often do not reveal what the error is all about. windows will display a value in either Decimal or Hex for Win32, HRESULT, NTSTATUS and STOP error codes. this is where Windows Error Lookup Tool comes handy [...]

Windows Error Lookup Tool: find Error Code is a post from: PenTestIT