Admin

Symfony es una framework MVC escrito en PHP para el desarrollo rápido de páginas web. Además, ofrece un conjunto de buenas prácticas para desarrollar páginas más seguras y con un coste de mantenimiento menor. Para que la instalación sea más segura, los ficheros de Symfony debería estar fuera del DocumentRoot. Requisitos Symfony se basa en entorno LAMPP, por lo que suponemos que ya tenemos configurado Apache, MySQL y PHP versión 5.2.4 o superior. Para comprobar si todo está correctamente configurado y que cumplimos los requerimientos para Symfony, descargamos siguiente script y lo ejecutamos, pasando como parámetro la ruta al archivo php.ini que utiliza apache (por defecto, al ejecutarlo desde el terminal en lugar del navegador, utiliza otro archivo php.ini): ...

El script Hash_ID.py, desarrollado por Zion3R, nos permite identificar los posibles algoritmos utilizados para crear un hash. En muchas ocasiones no se puede saber qué algoritmo concreto se ha utilizado, pero nos devolverá una lista de candidatos. El script compara el hash con el tipo de hash de algoritmos tales como: ADLER-32, CRC-32, CRC-16, DES(Unix), FCS-16, GHash-32-5, GOST R 34.11-94, Haval-160, Haval-192 110080, Haval-224 114080, Haval-256, Lineage II C4, Domain Cached Credentials, XOR-32, MD5(Half), MD5(Middle), MySQL, MD5(phpBB3), MD5(Unix), MD5(Wordpress), MD5(APR), MD2, MD4, MD5, MD5(HMAC(Wordpress)), NTLM, RAdmin v2.x, RipeMD-128, SNEFRU-128, Tiger-128, MySQL5 - SHA-1(SHA-1($pass)), MySQL 160bit - SHA-1(SHA-1($pass)), RipeMD-160, SHA-1, SHA-1(MaNGOS), Tiger-160, Tiger-192, md5($pass.$salt) - Joomla, SHA-1(Django), SHA-224, RipeMD-256, SNEFRU-256, md5($pass.$salt) - Joomla, SAM - (LM_hash:NT_hash), SHA-256(Django), RipeMD-320, SHA-384, SHA-256, SHA-384(Django), SHA-512, Whirlpool, etc. ...

Un honeypot emula un servicio vulnerable, en caso de Kippo el de SSH pero los hay también para otros servicios como FTP o web, con el fin de registrar la interacción del atacante. De esta manera, se puede tener constancia de la técnica y el tipo de ataques que se llevan a cabo. El honeypot puede ser de baja interacción, si emula un servicio no existente, o de alta interacción, si trabaja sobre un servicio real. Kippo es de los primeros. ...

Con un sencillo comando podremos saber la carga que soporta nuestro servidor web. Hay que tener cuidado contra qué servidor lo lanzamos y en qué momento, porque puede que interfiera o impida el acceso a otros usuarios. El comando es ab, de Apache Benchmarking, y permite multitud de opciones, entre ellas el número de peticiones concurrentes, con el argumento -c, y la duración de la prueba, con el argumento -t: ...

ownCloud es una aplicación de código abierto que nos facilita tener nuestra propia nube, permitiendo guardar, sincronizar y compartir todo tipo de archivos, incluyendo imágenes, música y vídeos. También tenemos la posibilidad de incluir aplicaciones de terceros tales como un calendario, un gestor de contactos, un editor de texto, gestión de enlaces, etc. Para instalarlo en Ubuntu Lucid Lynx 10.04, seguiremos los siguientes pasos. Instalamos las dependencias, incluyendo algunas opcionales: ...

Si queremos que el acceso a un directorio concreto, es decir, que afecte únicamente la ruta relativa en la URL que accede a ese directorio, se realice mediante una conexión segura, suponiendo que ya tenemos configurado el servidor de forma adecuada, basta incluir en ese directorio un fichero .htaccess que contenga: RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} Así, si por ejemplo, queremos que la ruta http://localhost/secure/ se acceda de forma segura, suponiendo que el DocumentRoot apunta a /var/www: ...

Puede que alguna vez hayamos visto este mensaje en el panel de administración de phpMyAdmin: Las opciones adicionales para trabajar con tablas vinculadas fueron desactivadas. Para saber porqué, dé clic aquí. Si seguimos el enlace, nos lleva a la documentación donde nos explican que, a partir de la versión 3.3.x, está disponible el sistema de tracking, que es un sistema que permite realizar un seguimiento de las consultas SQL ejecutadas por phpMyAdmin, tanto sentencias de definición como de manipulación de datos, pudiendo guardar versiones de las tablas. ...

ZeroBin es una aplicación web de código abierto que permite subir textos, al estilo pastebin.com, pero cifrados, de tal manera que nadie que no conozca la clave puede tener acceso, ni siquiera el servidor. Los datos se cifran y descifran en el navegador usando una clave AES de 256 bits, utilizando la librería de cifrado y descifrado en JavaScript de la universidad de Standford. Es rápido, fácil de utilizar y no necesita una base de datos, tan solo un servidor de páginas PHP (5.2.6+) y un navegador moderno con soporte JavaScript habilitado. Permite configurar que el contenido expire en un tiempo determinado o comenzar una conversación entorno a él, entre algunas de sus características, y otras que vendrán en futuras versiones. ...

Si tenemos un minicloud con OVH, podemos gestionar las instancias (máquinas vituales) con un script creado por Dominique Gallot. El script utiliza la API SOAP de OVH, de tal manera que permite obtener información sobre las instancias, arrancarlas y pararlas desde el terminal, sin tener que hacerlo desde el panel de administración. En la página de OVH tienen el script ovhclud, para gestionar la nube (Public Cloud), pero parece que todavía no soporta las instancias de minicloud. ...

mod_security es un módulo de Apache que actua como cortafuegos, protegiendo contra diversos tipos de ataque, y permitiendo monitorizar el tráfico HTTP en tiempo real. Por sí solo, el módulo no provee la protección, sino que deben añadirse reglas. Afortunadamente, existen conjuntos de reglas predefinidos, como el OWASP ModSecurity Core Rule Set Project, que nos facilitan la tarea. Al contrario que los sistemas de detección de intrusos, basados en firmas de vulnerabilidades conocidas, este conjunto de reglas protege contra vulnerabilidades desconocidas que pueda haber en las aplicaciones web. ...