Archive

Posts Tagged ‘OWASP’

Web Application Security Training Buenos Aires – Julio 2011

April 26th, 2011

Una vez más, está abierta la inscripción para el curso de Seguridad en Aplicaciones Web dictado por Bonsai. En esta oportunidad, se realizará durante los días 13 y 14 de Julio de 2011.

Para conocer más sobre el mismo, los invitamos a ingresar en el siguiente enlace:

http://www.bonsai-sec.com/es/education/web-security-buenos-aires.php

Si tiene alguna duda sobre el mismo, contáctenos.

Los esperamos!

nahuel bonsai, security, training , , , , , ,

OWASP TOP 10 Based Training Course

February 22nd, 2011

El próximo 15 de Abril de 2011 estaremos dictando este nuevo curso presencial de un día completo.

Para conocer más sobre el mismo, los invitamos a ingresar en el siguiente enlace:

http://www.bonsai-sec.com/es/education/owasp-top10.php

Los esperamos!

nahuel bonsai, open source, security, training , , , , ,

Lanzamos el Calendario 2011

February 8th, 2011

Porque creemos que capacitar a los profesionales de una organización va más allá de acrecentar sus conocimientos técnicos; la capacitación mejora la imagen de su organización frente a sus clientes, motiva a los empleados y acelera el proceso de toma de decisiones. Las empresas u organizaciones con empleados altamente calificados tendrán excelentes resultados financieros en el corto y mediano plazo.

Es por eso que arrancamos el año a puro training! Durante el 2011 seguimos dictando trainings abiertos y sumamos a nuestros cursos tradicionales un nuevo training basado en OWASP Top 10.

Abril

15 de Abril de 2011 :: Training basado en OWASP Top 10 :: Lanzamiento!

El training basado en el OWASP Top 10 está focalizado en las vulnerabilidades Web clasificadas por OWASP como de alto riesgo. Durante este curso de un día se explicará teóricamente cada vulnerabilidad con prácticas hands-on, demostraciones y las contramedidas necesarias para mitigar dichas vulnerabilidades

Pensado especialmente para desarrolladores, programadores, QA, Analistas de Seguridad Informática, etc.

$ 1.100 ARS + IVA por persona *15% off * si te anotas antes del 21 de marzo.

Más información en http://www.bonsai-sec.com/es/education/owasp-top10.php

Junio

:: Web Application Security Training

El training de Web Application Security de Bonsai se focaliza en el descubrimiento y explotación, manual y automático, de vulnerabilidades en aplicaciones Web. Durante este curso de dos días, se presentarán una serie de temas teóricos seguidos de prácticas hands-on realizadas por los asistentes. En cada práctica encontrarás vulnerabilidades para explotar, cada una con un nivel diferente de complejidad, las que desafiarán tu comprensión del tema.

Nuestra experiencia en capacitación nos ha ayudado a crear el mejor training de Web Application Security, el cual está orientado a la comprensión del código fuente: para cada tema se presenta un segmento de código vulnerable e independientemente del lenguaje, los asistentes aprenderán sobre vulnerabilidades en Java, PHP, ASP.NET, ASP, Ruby y Python.

Durante la primer hora, se repasarán conceptos básicos de HTTP y técnicas genéricas de descubrimiento de vulnerabilidades, para luego incrementar gradualmente el nivel de dificultad hasta llegar a comprender y ejecutar los ataques de mayor complejidad.

El training está diseñado para administradores, consultores, oficiales y responsables de Seguridad Informática; desarrolladores de aplicaciones Web, expertos en Quality Assurance, Administradores de Aplicaciones Web, etc.

Más información en http://www.bonsai-sec.com/es/education/web-application-security-training.php

Próximas Fechas

Y todavía hay más! Vamos a estar dictando cursos en los meses de Julio, Septiembre y Noviembre. En cuanto tengamos las fechas exactas de los mismos, las publicaremos en nuestro Google Calendar, y se irán actualizando por este medio también.

Consulte descuentos a grupos y cursos modalidad in-company

valeria bonsai, security , , , , , , , , , , , ,

OWASP Day @ Universidad de la Marina Mercante

October 5th, 2010

Desde el mes de Mayo la Universidad de la Marina Mercante (UdeMM) se incorporó como miembro de OWASP para ayudar a fomentar las metodologías, herramientas y proyectos informáticos que OWASP desarrolla y mantiene con gran esfuerzo.

A partir de esta relación, la UdeMM ofreció su espacio y recursos para llevar adelante un nuevo OWASP Day a realizarse el día 14 de Octubre a las 18:30hs.

Bonsai se hará presente en este evento de la mano de Nahuel Grisolía, participando como ponente en una de las charlas que se están ofreciendo.

Para más información y registración, ingrese aquí.

nahuel bonsai, conferences, security , , , ,

Google Open Redirection Vulnerability

October 5th, 2010

A month ago, we found an Open Redirection vulnerability in Google, the vulnerability was already fixed by the vendor and we were thinking about how we could add value to the disclosure of this vulnerability. After some thinking, we thought that showing how we found the vulnerability was more interesting than the vulnerability itself, so… here we go:

After identifying Twitter’s Open Redirection Vulnerability , we thought it would be cool to find one at Google. Given that “google.com” is huge, we used Google’s search engine and some dorks to narrow down our tests. Interestingly enough, that worked perfectly and we were able to identify vulnerabilities in the first 10 minutes of testing! The following screenshot (just click on the image to enlarge it) illustrates this step:

Google Dork used to find the vulnerability
In this link we found that by browsing:

http://www.google.com/bookmarks/url?url=http://www.bonsai-sec.com

The affected user was redirected to http://www.bonsai-sec.com without any warning, allowing possible phishing attacks. The following screenshots show the complete HTTP traffic:

Burp HTTP Traffic Capture I

And the answer from the server with a new location:

Burp HTTP Traffic Capture II

Doing some other deeper tests and by using Dirbuster, we discovered that other instances/directories were also affected:

http://www.google.com/psearch/url?url=http://www.bonsai-sec.com

http://www.google.com/searchhistory/url?url=http://www.bonsai-sec.com

http://www.google.com/history/url?url=http://www.bonsai-sec.com

New vectors to exploit this kind of vulnerabilities are being discussed in Web security forums, depending on the browser, it might be possible to execute javascript code on the remote browser, thus changing the real risk associated to this type of vulnerabilities.

nahuel bonsai, security , , , ,