Actualización de seguridad para Drupal.

Hola a todos,

Salió una nueva versión de Drupal, que contiene parches de seguridad. Resuelve problemas de XSS, inyección SQL y CSRF, pero nada super grave que yo pueda ver.

Mas detalles acá: https://www.drupal.org/SA-CORE-2015-003

Pronto voy a sacar una versión nueva de droopescan.

Un abrazo,
Pedro

droopescan: escaneo de CMS

¡Hola a todos!

Tengo mucha información para compartir últimamente: he aprendido mucho sobre CMS y como determinar sus versiones desde la perspectiva de un atacante sin autenticación: en particular, desarrollé una herramienta que te permite hacer exactamente eso.

La herramienta se llama droopescan, y el código fuente está aca:

https://github.com/droope/droopescan

Si lo quieren instalar en un sistema debian, o en un sistema que tenga el manejador de paquetes de Python (PIP), lo pueden instalar con los siguientes comandos:


apt-get install python-pip
pip install droopescan

Pueden encontrar ejemplos, y demás en el README de la aplicación, en github. Planes a futuro para la aplicación son el agregar la posibilidad de escanear WordPress y quizás Drupal. Para mi investigación este año, voy a realizar un escaneo a nivel mundial de instalaciones de Drupal, WordPress, Joomla y SilverStripe.

El año pasado realicé un escaneo de Drupal y SilverStripe en Nueva Zelanda, la presentación, en inglés, está acá:

https://www.owasp.org/images/2/23/CMS_HELL.pptx

Drupal: Como descargar nodos (modulo)

Si, drupal.

Drupal es un CMS, como muchos que existen en el mundo, pero con una diferencia: Drupal es una masa, está espectacularmente desarrollado, y es impresionante ver la cantidad de cosas que pueden hacerse sin tocar una sola línea de código.

Por ejemplo, uno podría asignarle una dirección física (ej Callao 297) a un post (nodo), y luego hacer que automáticamente se muestre un Gmap. Obviamente, algo hay que saber, y no es que lee nuestra mente; pero no es para nada complejo.

Otra cosa que uno podrìa, por ejemplo, es, en caso de que quisiera desarrollar una aplicación que mande datos a un servidor y los guarde y muestre, un simple formulario, hacerlo en una hora y media. Y no me refiero a un form sin estilo, sinó a una aplicación completa con paginado, control de usuarios, upload de múltiples imágenes y muchos chiches mas, como caching, image-resizing, y mas.
Continue reading