DotDotPwn es un fuzzer inteligente y flexible para descubrir vulnerabilidades de tipo Directory Traversal a través de protocolos como HTTP, FTP y TFTP. Está escrito en Perl y funciona en sistemas Unix y Windows. Explica las características clave como el algoritmo de bisección, módulos, opciones de uso y vulnerabilidades encontradas. El documento también agradece las contribuciones al proyecto.
Algunas ideas para campañas de mercadeo digital para empresas y negociosEmpresa Web
Algunas ideas para campañas de mercadeo digital para empresas y negocios. Campañas de marketing digital. paginas web publicidad, publicidad de paginas web, como anunciarse en google, posicionar en google, publicidad con google, agencia de marketing digital,
Best practices in eGovernment: on a knife-edge between success and failureTrond Arne Undheim
This article is an in-depth exploration of three best
practice cases in e-government. Even successful projects
face significant challenges.
Generic success factors exist, and lessons learned for
practitioners include: Achieve leadership buy-in, keep
technology as simple as possible, get early
stakeholder and user involvement, gain momentum
and plan for sustainability. I published this article in February of 2008 in the European Journal of ePractice.
The Relocation Expert Guide details the complexities of acquiring the correct visas – both for permanent residence and for overseas business excursions. The guide also outlines the key components to regulation, including a pertinent case study with a Canadian employer entering the German labour market. Featured regions are: United Kingdom, Germany, Switzerland, the Netherlands, Spain, Norway, Australia, United States, Africa and the Middle East.
Agenda of the workshop on the forming of audit opinions, co-organised by SIGMA and the Turkish Court of Accounts, which took place in Ankara on 26-27 October 2016
ESTE MANUAL DE USO MILITAR PUEDE SER USADO POR CUALQUIER PERSONA PARA SOBREVIVIR EN CUALQUIER LUGAR, POR LO QUE SE RECOMIENDA LEERLO COMO UNA INSTRUCCION BASICA DE SUPERVIVIENCIA, PARA CUALQUIER SITUACION
es un trabajo que se explica a detalle como se encuentra de sucia nuestra ciudad de chiclayo. datos estadisticos de la cantidad de basura que hay a diario en nuestra ciudad.
Algunas ideas para campañas de mercadeo digital para empresas y negociosEmpresa Web
Algunas ideas para campañas de mercadeo digital para empresas y negocios. Campañas de marketing digital. paginas web publicidad, publicidad de paginas web, como anunciarse en google, posicionar en google, publicidad con google, agencia de marketing digital,
Best practices in eGovernment: on a knife-edge between success and failureTrond Arne Undheim
This article is an in-depth exploration of three best
practice cases in e-government. Even successful projects
face significant challenges.
Generic success factors exist, and lessons learned for
practitioners include: Achieve leadership buy-in, keep
technology as simple as possible, get early
stakeholder and user involvement, gain momentum
and plan for sustainability. I published this article in February of 2008 in the European Journal of ePractice.
The Relocation Expert Guide details the complexities of acquiring the correct visas – both for permanent residence and for overseas business excursions. The guide also outlines the key components to regulation, including a pertinent case study with a Canadian employer entering the German labour market. Featured regions are: United Kingdom, Germany, Switzerland, the Netherlands, Spain, Norway, Australia, United States, Africa and the Middle East.
Agenda of the workshop on the forming of audit opinions, co-organised by SIGMA and the Turkish Court of Accounts, which took place in Ankara on 26-27 October 2016
ESTE MANUAL DE USO MILITAR PUEDE SER USADO POR CUALQUIER PERSONA PARA SOBREVIVIR EN CUALQUIER LUGAR, POR LO QUE SE RECOMIENDA LEERLO COMO UNA INSTRUCCION BASICA DE SUPERVIVIENCIA, PARA CUALQUIER SITUACION
es un trabajo que se explica a detalle como se encuentra de sucia nuestra ciudad de chiclayo. datos estadisticos de la cantidad de basura que hay a diario en nuestra ciudad.
David Meléndez Cano - Trash Robotic Router Platform (TRRP) [Rooted CON 2013]RootedCON
En esta charla se presentará una plataforma robótica integral, basada en elementos que tenemos por casa, y de fácil y barata adquisición. Por eso, la elección como prueba de concepto, se apoya en dos robots que he realizado a lo largo de 3 años de forma casera, usando sendos routers Wifi. Se trata del WRT54GL y La Fonera 2201.
Uno es un ROV y el otro un cuadricóptero, ambos controlados mediante HTML5 ofrecido desde el servidor web de cada router. Los aspectos técnicos de la ponencia incluyen:
- Por qué el firmware OpenWRT.
- I2C bitbanging con La Fonera. Conexiones de los GPIO y cargas de los módulos Kernel necesarios. Entrada de mi blog
- Lectura de mandos Wii mediante el I2C emulado previamente.
- Extender funcionalidades a través del puerto serie, a un microcontrolador
- Procesos en background desde OpenWrt, manejo de prioridades fuera de espacio de usuario para procesos críticos.
- Manipulación de httpd en BusyBox para atender ciertas peticiones ajax más rápido, mediante memoria compartida
- Integración de técnicas AJAX y AJAX PUSH (COMET) para aceptar órdenes y transmitir datos de telemetría.
- Lectura de mandos de consola, PS2, Entrenadores de vuelo RC, etc mediante programa en C bajo GNU/Linux y envío de los datos a través de peticiones HTTP o paquetes UDP
- Compilación cruzada de programas para arquitecturas empotradas (MIPS, ARM..)
Workshop celebrat dins del congrés de seguretat informàtica i hacking No cON Name (NcN), a càrrec de Jordi Guijarro, cap d'Operacions i Seguretat del CSUC; Borja Guaita, administrador de seguretat del CSUC i Àlex Giménez, administrador de sistemes del CSUC.
Aquest workshop ha tingut per objectiu donar a conèixer eines i plataformes tangibles per als professionals de la seguretat de qualsevol àmbit; a més d'instal·lar i configurar una sèrie d'eines en l'àmbit de la gestió d'incidents i Network Forensics. També ha mostrat la utilització de serveis en línia d'sandboxing, d'historials passius de serveis d'internet, etc.
Campus Party México 2010 powered by movistar, Innovación, Ciencia, Cultura Digital y Ocio Digital, reunió a mas de 6500 entusiastas de la tecnología en Expo Santa Fe de la Ciudad de México del 9 al 15 de agosto.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
1. ../../../DotDotFUA !!!!!!!!!!
FUAzzer… La Pesadilla de los Directorios
Alejandro Hernández H. (nitrØus), CISSP, GPEN, ITIL, CobiT
http://twitter.com/nitr0usmx
<nitrousenador@gmail.com>
http://chatsubo-labs.blogspot.com || http://www.brainoverflow.org
2. ../../../DotDotPwn !
fuzzer… La Pesadilla de los Directorios
Alejandro Hernández H. (nitrØus), CISSP, GPEN, ITIL, CobiT
http://twitter.com/nitr0usmx
<nitrousenador@gmail.com>
http://chatsubo-labs.blogspot.com || http://www.brainoverflow.org
3. ../../ AGENDA
Introducción
Directory Traversal Vulnerability
Fuzz Testing
Información General
Origen / Evolución
Diseño / Arquitectura
Algoritmo de Bisección
Opciones de uso
Sitio y contacto oficial
Descarga
Contribuciones
Vulnerabilidades descubiertas
Traversal Engine
Descripción
Recursos
Generación de patrones
Fuzzing Inteligente
Módulos
Descripción
Demostración de diferentes módulos
Agradecimientos
4. ../../ DotDotPwn
DotDotPwn es un fuzzer inteligente y bastante flexible para descubrir
vulnerabilidades de tipo Directory Traversal en software, a través de protocolos
como HTTP, FTP, TFTP, entre otros. Además, tiene un módulo independiente de
protocolo que permite enviar las pruebas al host y puerto especificado. Está
escrito en el lenguaje de programación Perl y funciona en plataformas *NIX y
Windows. Esta es la primer herramienta Mexicana incluida en la distribución de
Linux orientada a Penetration Testing (BackTrack Linux).
6. ../../ Introducción
Directory Traversal Vulnerability
Vulnerabilidad informática que ocurre cuando no existe suficiente seguridad en
cuanto a la validación de un usuario, permitiéndole acceder a cualquier tipo de
directorio superior.
Fuente: http://es.wikipedia.org/wiki/Directory_traversal
8. ../../ Introducción
Directory Traversal Vulnerability
Algunas aplicaciones realizan escaneos sobre las cadenas introducidas (para
prevenir el Directory Traversal) buscando caracteres peligrosos como:
..
..
../
Sin embargo, la cadena es usualmente decodificada en URI antes de ser
utilizada. Es por ello que estas aplicaciones son vulnerables a percent encoded
como:
%2e%2e%2f que se traduce a ../
%2e%2e/ que se traduce a ../
..%2f que se traduce a ../
%2e%2e%5c que se traduce a ..
etc.
Fuente: http://es.wikipedia.org/wiki/Directory_traversal
9. ../../ Introducción
Fuzz Testing
Fuzz testing or fuzzing is a software testing technique that provides (in)valid,
unexpected, or random data to the inputs of a program. If the program fails (for
example, by crashing or failing built-in code assertions), the defects can be
noted.
Fuzz testing enhances software security and software safety because it often
finds odd oversights and defects which human testers would fail to find, and
even careful human test designers would fail to create tests for.
Fuente: http://en.wikipedia.org/wiki/Fuzz_testing
15. ../../ Información General
Algoritmo de Bisección
Detección exacta de profundidad de una
vulnerabilidad identificada
En matemáticas, el método de bisección es un algoritmo de
búsqueda de raíces que trabaja dividiendo el intervalo a la mitad y
seleccionando el subintervalo que tiene la raíz.
http://es.wikipedia.org/wiki/Método_de_bisección
../../../../../../../../../../../../../../../../etc/passwd (16)
../../../../../../../../etc/passwd (16/2 = 8)
../../../../../../../../../../../../etc/passwd ((8+16) / 2 = 12)
../../../../../../../../../../etc/passwd ((8+12) / 2 = 10)
../../../../../../../../../../../etc/passwd ((10+12) / 2 = 11)
5 requests en vez de 11 !
18. ../../ Información General
Sitio y contacto oficial
README.txt
Official Website: http://dotdotpwn.blogspot.com
Official Email: dotdotpwn@sectester.net
Bugs / Contributions / Improvements: dotdotpwn@sectester.net
19. ../../ Información General
Descarga
DotDotPwn v2.1:
PacketStormSecurity:
http://packetstormsecurity.org/files/view/95399/dotdotpwn-v2.1.tar.gz
BackTrack Linux 4 R2:
# apt-get update
# apt-get install dotdotpwn
# cd /pentest/fuzzers/dotdotpwn/
# ./dotdotpwn.pl
Mirror:
http://www.brainoverflow.org/code/dotdotpwn-v2.1.tar.gz
20. ../../ Información General
Contribuciones
AUTHORS.txt
Feature/Idea:
Implementation of the Bisection Algorithm once a vulnerability has been found in order to determine the exact deepness of
the directory traversal. Origin of -X switch.
http://en.wikipedia.org/wiki/Bisection_method
By: Roberto Salgado aka LightOS
http://twitter.com/LightOS
http://www.websec.ca
-------------------------------------
Feature/Idea:
Not always include the @Extra_files (e.g. web.config, httpd.conf, etc.). Origin of -e switch.
Specify the Operating System type if known ("windows" or "unix"). Origin of -o switch.
By: Eduardo Ruiz Duarte aka Beck
http://twitter.com/toorandom
http://math.co.ro
http://b3ck.blogspot.com
-------------------------------------
Feature/Idea:
Random User-Agent in HTTP requests for IDS/IPS detection avoidance.
By: Diego Boy & Cristian Urrutia aka Gashnark
http://twitter.com/Diego_Boy http://twitter.com/blion_tec
30. ../../ Traversal Engine
Fuzzing Inteligente
Obtención de archivos de acuerdo al Sistema Operativo detectado
../../../boot.ini en *NIX-like ../../../boot.ini en Windows
../../../etc/passwd en Windows ../../../etc/passwd en *NIX-like
32. ../../ Traversal Engine
Fuzzing Inteligente
Encoding de diagonales (/) para que una correcta semántica en cada
patrón de fuzzing
..%2f..%2fetc/passwd
..%2f..%2fetc%2fpasswd
%2e%2e%c0%af%2e%2e%c0%afwindowssystem32driversetchosts
%2e%2e%c0%af%2e%2e%c0%afwindows%c0%afsystem32%c0%afdrivers%c0%a
fetc%c0%afhosts
40. ../../ Módulos
FTP
Cumplimiento con RFC 959 - File Transfer Protocol y doble enfoque de
pruebas
CD <directorio> & GET <archivo>
GET <directorio><archivo>
43. ../../ Módulos
TFTP
Hack en el constructor del módulo TFTP.pm para mejorar la velocidad y
adaptarse a los requerimientos de tiempo de DotDotPwn (opción -t )