CVE Details.- CVEs + Graficas + Categorias = ¡Oh Si Baby!

Hoy haciendo una búsqueda rápida sobre un tema de CVEs que tenia curiosidad me he dado de morros con este repositorio de vulnerabilidades que aparte de almacenar CVEs y su descripción, es capaz de catalogarlas por vendor, producto, año, etc. Por lo que va genial si estas buscando vulnerabilidades para un software especifico.  

Además de tablas tan chulas como esa, dependiendo de la categoría/filtro que utilicemos, tendremos gráficas muy chulas con todo lo que necesitamos saber de las vulnerabilidades que ha habido, por ejemplo, en un año en un cierto producto. 

La verdad es que creo que esta pagina va ha alegrarle la faena a mas de una persona así que aquí os dejo el enlace al sitio web para que le podáis echar un ojo. 

• http://www.cvedetails.com/

Sed Buenos ;) 

XSSPOSED.- El Lugar Donde Los XSS Se Hacen Realidad.

Hoy, rebuscando por bases de datos de vulnerabilidades he llegado, a esta pagina. La verdad es que ha sorprendido encontrarme una pagina dedicada al almacenamiento de reportes vulnerabilidades XSS y si bien hablábamos hace unos días de un [scaner online para este tipo de vulnerabilidades] creo que es la situación perfecta para hacer las cosas un poco mas éticas. 

Lo que hace este sito tan particular para mi es que existen rankings para ver quien es el mejor en reportar vulnerabilidades, puedes recibir alertas al correo electrónico por si tienes que hacer un seguimiento de nuestra pagina web y como no, hacer un reporte con cara y ojos que será recompensado con la siguiente foto. 

Ademas de molar un montón, el sitio también incorpora mirror para que puedas ver la pagina web vulnerada sin ningún problema al mas puro estilo [Zone-h] que para los que no lo sepáis, Zone-h es una pagina donde se recogen y se reportan la gran mayoría de defacements. 

Os dejo el enlace a la pagina por si le queréis dar fuerte y flojo: 

• https://www.xssposed.org

Sed Buenos ;) 

Peritaje Forense.- Metodología Para Informes.

Unas de las cosas que mas problemas he tenido es con la elaboración de informes tanto para temas de Pentesting como para el ámbito del Peritaje Informático Forense por la falta de una metodología a seguir o de proyectos anteriores en los que me pudiera guiar. Pero, hace ya bastantes meses el equipo de [flu-project] hizo una entrada especificando las UNEs (Una Norma Española) esenciales para la elaboración de proyectos  y para la correcta recogida de evidencias informáticas. 

Las UNEs en cuestión son las siguientes: 

• UNE 197001:2011 Criterios generales para la elaboración de informes y dictámenes periciales
• UNE 71506:2013 Metodología para el análisis forense de las evidencias electrónicas.

Gracias a estas normas me es mas fácil saber por donde tengo que empezar a redactar cuando estoy frente a una evidencia digital/electrónica. Así, si os podéis hacer con alguna de estas dos normas,  os aconsejo encarecidamente su lectura.

Mas información sorbe estas dos normas y fuente: 

• http://www.flu-project.com/2014/06/herramientas-forense-para-ser-un-buen.html

Sed Buenos ;) 

Día Internacional de las Copias de Seguridad.- ¿Pensamos También En Los Reportes?

Aprovechando el 31 de marzo se celebra el día internacional de las copias de Seguridad me encantaría remarcar, también, que ya que nos ponemos a realizar estas copia estaría genial guardar junto a ellas cualquier reporte que pueda servir a un perito, cuerpo de policía o a cualquier administrador de sistemas en un futuro.

Me gustaría recomendaros algunas herramientas para que el Perito que venga a veros este mas contento:  

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////
Herramientas: 

• [Active Registry Monitor.- Mantén Tu Registro De Windows A Salvo]
• [Se Me Han Adelantado.- Python Detectar Unidades (HDD o FlashDrives)]
• [RadioGraPhy 2.0.- Radiografía Tu Windows.]

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Sed Buenos ;)