Thread Modeling

Posted on Actualizado enn

Todo proyecto de seguridad informática debe iniciar con un modelado de amenzas.

1.-Decompose the application

  1. Uses Cases (how the app is used, identify entry points), assets (valores, recursos), trust levels
  2. DFD data flow diagrams, with previous information can generate this diagrams, to find targets
    1. Data sources, process, data flows, and interaction with users, these threat can be identified further as the roots for threats  trees

A list of: External dependencìes; entry points; assets; roles (set of priviledges, trust levels)

2.-Determine and rank threats

  1. A thread  categorization like STRIDE can be used or ASF application security frame.
    1. Defensive ASF
      1. Auditing and logging
      2. Authentication
      3. Authorization
      4. Configuration Managment
      5. Data protection in storage and transite
      6. Data validation
      7. Exception management
    2. Attacker
      1. Spoofing of user identity (illegal access) – Security control => Authetication
      2. Tampering (Maliciously add/modify persistent data) – Security control => Integrity
      3. Repudiation (are associated with users who deny performing an action without other parties having any way to prove ) – Security control => No repudiation
      4. Information disclosure (privacy breach or data leak, read data that was not granted) – Security control => Confidentiality
      5. Denial of service (D.o.S) (Make service unavailable) – Security control => Availability
      6. Elevation of privilege (Gain privileged access) – Security control => Authorization
    3. Determination of the security risk for each threat, use DREAD or a less subjective qualitative risk model
      1. Do nothing, inform about the risk, mitigate the risk, accept the risk, transfer the risk, terminate the risk

3.-Countermeasures and mitigation

  1. Mapping list of risk, mitigation strategy, level of mitigation, effort, business impact, owner

Rastreo de intrusos en la red

Posted on Actualizado enn

Existen métodos específicos para Microsoft Windows (Wireless Network Watcher o Microsoft Network Monitor), así como para Apple (Mac OS X Hints) y dispositivos móviles o Android (Fing, Network Discovery, Net Scan) e iOS (Fing, IP Network Scanner, iNet).

El mejor sistema para proteger nuestra red doméstica es el protocolo WPA2-PSK

Si la configuración nos permite modificar también el encriptado, tenemos que elegir la opción AES”

Ligar GoDaddy con Azure

Posted on Actualizado enn

Lo que se tiene que hacer es en ambos anotar información cruzada.

  1. Primero Azure
    1. Obtener IP y pointsto
      1. En Azure, después de seleccionar la appweb hay que elegir ADMINISTRAR DOMINIOS PERSONALIZADOS y tomar la DIRECCIÓN IP QUE SE USA AL CONFIGURAR REGISTROS A, por ejemplo 23.101.169.175; luego se toma el awverify.prod-aeinmobiliaria.azurewebsites.net
  2. GoDaddy
    1. Configurar Settings principales
      1. En settings, forwarding, domain poner el sitio de Azure http://prod-aeinmobiliaria.azurewebsites.net/(forward with masking)
    2. Configurar DNS
      1. En host, @ points to 23.101.169.175
        Host Points To TTL Actions
        @ 23.101.169.175 600 seconds
      2. En CNAME (Alias) awverify y awverify apuntando a awverify.prod-aeinmobiliaria.azurewebsites.net, tambien el www apunta a @
        Host Apunta A TTL Acciones
        awverify awverify.prod-aeinmobiliaria.azurewebsites.net 600 segundos
        awverify.www awverify.prod-aeinmobiliaria.azurewebsites.net 600 segundos
        email email.secureserver.net 1 Hora
        ftp @ 1 Hora
        www @ 600 segundos
  3. Regresar a Azure y configurar nombres de dominio
    1. En nombre del dominio se pone aeinmobiliaria.com.mx y http://www.aeinmobiliaria.com.mx (hay que esperar unos 10mins para que refresque GoDaddy el dns) Hay que ser paciente. Y hay que esperar más para que ponga los directorios en la URL

Imagenes

azure

daddy0

daddy1

más ayuda
http://blogs.msdn.com/b/kaushal/archive/2013/07/06/windows-azure-web-sites-how-to-configure-a-custom-domain.aspx

Avoid Cross Site Scripting

Posted on

Regex r = new Regex(@”^[\w]{1,40}$”);

if (r.Match(strName).Success) {

// Cool! The string is ok

} else {

// Not cool! Invalid string

}

https://msdn.microsoft.com/en-us/magazine/cc188938.aspx

hacking herramientas

Posted on Actualizado enn

Algunos conceptos de seguridad informática…

Hijacking, secuestro de sesión, a través de un sniffeo de red se pueden robar la galleta de un usuario y tener acceso a lo que él esté viendo, esto claro si la galleta no cuenta con seguridad casada con la máquina del cliente.

Herramientas: cain y abel http://es.slideshare.net/TotusMuertos/manual-cain-abel-sniffer-en-windows gost phiser / Xplico

Penetration Testing Training with Kali Linux https://www.kali.org/penetration-testing-with-kali-linux/ https://www.kali.org/

Herramienta para generar metasploit payloads que no son detectados por antivirus, ah con Python

https://www.veil-framework.com/tutorial-veil-payload-development/
https://github.com/Veil-Framework/Veil-Evasion

Página para revisar archivos y sitios si contienen virus

Posted on

wikipedia dice: VirusTotal is a website, originally developed by Hispasec, that provides free checking of files for viruses

https://www.virustotal.com

Proximamente ejemplo de task para procesos paralelos c#

Posted on Actualizado enn

lista paginada y con búsqueda en mvc razor