Remote Code Execution vs. Remote Command Execution vs. Code Injection vs. Command Injection vs. RCE

March 18, 2024 - 0 min read

Instalando Shop Juice

March 13, 2024 - 1 min read

Introducción

OWASP Juice Shop es una aplicación creada deliberadamente insegura, para práctica

Entorno previo

Es un sistema Debian 12, donde ya habían otras aplicaciones de prueba en PHP y se usaba nginx. Así que tuve que instalar node, npm y pm2:

apt install nodejs
apt install npm --no-install-suggests --no-install-recommends
npm install pm2 -g

Instalación

El npm install realmente es un largo proceso, no solo por la descarga de paquetes, sino también por todas las tareas post-instalación

Enlaces para entender OAuth

March 8, 2024 - 1 min read

Me parece que Traveling with OAuth - Account Takeover on Booking.com es una buena forma de iniciar el tema, aún cuando no se sea del área de seguridad. Recomendado empezar de acá porque la explicación gráfica es bien detallada

Los siguientes enlaces tratan sobre los diferentes OAuth “grant types” (Llamados en muchas otras partes “flows”)

En The Best Security for Single Page Applications(SPA) - OpenID Connect OAuth 2.0 Authorization Code PKCE Flow da un acercamiento conciso y práctico al tema de las diferentes implementaciones que OAuth soporta.
Which OAuth 2.0 Flow Should I Use? es una guía más detallada y mejor documentada sobre los tipos de flujos
OAuth grant types es ya lo suficientemente detallada cuando se tiene suficiente tiempo de lectura

Siguiendo con la documentación más general, resulta que OAuth 2.0 es un estandar con su propia RFC: The OAuth 2.0 Authorization Framework y su lectura debería ser obligatoria para considerarse experto en este tema.

Vulnerabilidades en Sandbox VMWare

March 7, 2024 - 1 min read

Resumen

Tres de las vulnerabilidades se basan en el controlador USB (CVE-2024-22252, CVE-2024-22253, CVE-2024-22254), cuyo anuncio oficial esta en VMSA-2024-0006.1 y se consideran critico. El otro no lo pude hallar

Productos afectados:

VMware ESXi
VMware Workstation Pro / Player (Workstation)
VMware Fusion Pro / Fusion (Fusion)
VMware Cloud Foundation (Cloud Foundation)

Casa Blanca urge a desarrolladores a cambiar a lenguajes de programación con protección de memoria

February 28, 2024 - 1 min read

noticias

Lo de “Lenguajes de programación con protección de memoria” suena mejor que “Si no es posible hacerlos con un lenguaje interpretado, que sea Rust”, que se une a los esfuerzos continuados de Microsoft sobre el tema