Informática & Derecho WikiBlog

Test de seguridad usando secuencias de comandos de Cross-site Scripting (XSS).

Cross-site Scripting (XSS) ocurre cada vez que una aplicación toma datos que no son de confianza y los envía al cliente (navegador) sin validación. Esto permite a los atacantes ejecutar secuencias de comandos maliciosas en el navegador de la víctima, lo que puede provocar el secuestro de sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos.

Comprendamos los agentes de amenazas, los vectores de ataque, la debilidad de la seguridad, el impacto técnico y los impactos comerciales de esta falla con la ayuda de un diagrama simple.

Continuar leyendo
  1899 Hits

Recuperación gratuita de fotos y videos para sistemas de archivos Windows con R-Photo

Recuperación gratuita de fotos y videos para sistemas de archivos Windows
R-Photo

R-Photo es una herramienta gratuita para la recuperación de archivos de fotos y video no comercial. La herramienta es compatible con los sistemas de archivos de Windows (FAT, exFAT, NTFS e incluso ReFS) y recupera archivos de fotos y videos de todas las fuentes visibles para el sistema Windows del host: HDD / SDD / NVME internos y externos, memorias USB externas, tarjetas SD, y otros dispositivos de almacenamiento. También es compatible con discos virtuales, RAID no dañados y Windows Storage Spaces.

Continuar leyendo
  2071 Hits

¿Cómo crear un informe de pentesting?

Es una pregunta muy habitual entre profesionales que están empezando a trabajar en pentesting y aunque hay plantillas que se pueden encontrar fácilmente en internet y algunas herramientas los generan automáticamente, como profesional sigo ciertas normas a la hora de elaborar los documentos que debo entregar a los clientes tras finalizar los trabajos. En este post y en el siguiente hablaré sobre este tipo de detalles que es posible que te sean útiles.

 

0. Nociones básicas

La elaboración de informes es una de las cuestiones más importantes en cualquier auditoría y en ellos se debe reflejar de forma clara y concisa los descubrimientos y conclusiones a las que has llegado. Cualquier informe normalmente debe incluir como mínimo lo siguiente:

Continuar leyendo
  3204 Hits

OWASP Top 10

OWASP Top 10 es un documento de los diez riesgos de seguridad más importantes en aplicaciones web según la organización OWASP (en inglés Open Web Application Security Project, en español Proyecto Abierto de Seguridad de Aplicaciones Web).2​ Esta lista se publica y actualiza cada tres años por dicha organización.

El objetivo de este proyecto según la OWASP top 10(2013), es crear conciencia acerca de la seguridad en aplicaciones mediante la identificación de algunos de los riesgos más críticos que enfrentan las organizaciones.2​ Así mismo estos riesgos de seguridad son referenciados en artículos científicos, tesis de pregrado y postgrado, libros de seguridad y organizaciones como MITRE,3​ SANS, PCI DSS, DISA, FCT.

Continuar leyendo
  3234 Hits

ISO 19011 Directrices para la auditoría de los sistemas de gestión

ISO 19011 Directrices para la auditoría de los sistemas de gestión es una norma internacional desarrollada por la Organización Internacional de Normalización (ISO), que establece las directrices para la auditoría de los sistemas de gestión de la calidad. La última revisión de la norma fue en julio de 2018 (ISO 19011:2018).

Originalmente se publicó en 1990 como ISO 10011-1 y en 2002 tomó la numeración ISO 19011 actual.

Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión, así como orientación sobre la evaluación de la competencia de los individuos que participan en el proceso de auditoría.

Continuar leyendo
  2336 Hits

J. A. y otros s/ nulidad DET Asociación ilícita y otros (copia forense no es pericia)

CAMARA NACIONAL DE APELACIONES EN LO CRIMINAL Y CORRECCIONAL - SALA 4 -
A., J. A. y otros s/ nulidad DET Asociación ilícita y otros JCC 53 CCC 81978/2018/11/CA9
///nos Aires, 20 de septiembre de 2019.
AUTOS Y VISTOS:
Se encuentran a estudio del Tribunal los recursos interpuestos a fs.
17/18 vta. y 19/21 vta. por las defensas contra el auto de fs. 12/15 que rechazó
la nulidad oportunamente articulada.
Celebrada la audiencia contemplada en el artículo 454 del Código
Procesal Penal de la Nación, la Sala pasó a deliberar en los términos del
artículo 455 del mismo cuerpo legal.

Continuar leyendo
  2319 Hits

LAS 7 MEJORES alternativas de Wayback Machine (Internet Archive) en 2020

Wayback Machine archiva la información disponible en la WWW (World Wide Web). Es ampliamente utilizado por investigadores e historiadores para preservar artefactos digitales. Sin embargo, Wayback Machine tiene algunas limitaciones, ya que es muy lento y no responde en muchos sitios web rastreables.

Aquí hay una lista seleccionada de las principales aplicaciones que pueden reemplazar a Wayback Machine. La lista contiene software de código abierto (gratuito) y comercial (pago).

Continuar leyendo
  3035 Hits

Diagrama EDRM - Proceso de descubrimiento electrónico

 
 

El diagrama EDRM representa un conceptual vista del proceso de descubrimiento electrónico, no un modelo literal, lineal o en cascada. Se pueden realizar algunos, pero no todos, los pasos descritos en el diagrama, o se puede optar por realizar los pasos en un orden diferente al que se muestra aquí.

El diagrama también muestra un iterativo proceso. Se puede repetir el mismo paso varias veces, perfeccionando un conjunto de resultados más precisos. También se puede volver a los pasos anteriores, refinando el enfoque a medida que surge una mejor comprensión de los datos o cuando cambia la naturaleza del asunto.

El diagrama pretende ser una base para la discusión y el análisis, no una receta para la única forma correcta de abordar el descubrimiento electrónico.

DESCARGUE EL CARTEL DE EDRM (LIMPIO 2020.1)

A continuación se presentan explicaciones resumidas de cada etapa de EDRM.

Electronic Discovery Reference Model

 

Continuar leyendo
  3109 Hits

ISO/IEC 27037:2012 - Recopilación de Evidencias.

La actuación de campo de la recopilación de las evidencias es un actividad extremamente delicada y compleja.  La valía legal y técnica de las evidencias en la mayoría de ocasiones depende del proceso realizado en la recopilación y preservación de las mismas.

La norma ISO/IEC 27037:2012 “Information technology — Security techniques — Guidelines for identification, collection, acquisition and preservation of digital evidence” viene a renovar a las ya antiguas directrices RFC 3227 estando las recomendaciones de la ISO 27037 más dirigidas  a dispositivos actuales y están más de acorde con el estado de la técnica actual.

 

Esta norma ISO 27037 está claramente orientada al procedimiento de la actuación pericial en el escenario de la recogida, identificación y secuestro de la evidencia digital, no entra en la fase de Análisis de la evidencia.

Continuar leyendo
  2954 Hits

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: