diazsecurity.com Report : Visit Site

Technical data of the diazsecurity.com

Geo IP provides you such as latitude, longitude and ISP (Internet Service Provider) etc. informations. Our GeoIP service found where is host diazsecurity.com. Currently, hosted in France and its service provider is OVH SAS .

the related websites

magnumphotos.com notrickszone.com ugg.com al-bab.com cnet.com greenbeltmovement.org techradar.com 248am.com stopwar.org.uk channel4.com 

HTTP Header Analysis

HTTP Header information is a part of HTTP protocol that a user's browser sends to called Apache/2.4.10 (Debian) containing the details of what the browser wants and will accept back from the web server.

DNS

HtmlToText

 diazsecurity.com seguridad informática y desarrollo miguel diaz blog proyectos twitter contacto acerca de auditorías web con owasp zap – introducción y ejemplos de uso 30 abril, 2017 a las 20:02 owasp zap es una herramienta disponible para linux, windows y mac desarrollada dentro del open web application security project. dentro de esta fundación se han desarrollado varias herramientas, entre ellas la que nos ocupa hoy: owasp zap. esta herramienta nos permite realizar múltiples pruebas de penetración (sqli, xss, descubriemiento de ficheros, etc) en aplicaciones web de una forma muy sencilla. aunque la herramienta en sí tiene un potencial casi infinito (e infinito si lo aderezamos con plugins). en este tutorial vamos a ver las opciones más utilizadas de zap y un par de pruebas de concepto. cuando iniciemos la aplicación veremos una pantalla donde podremos restaurar una sesión anterior o iniciar una nueva. en nuestro ejemplo ya que vamos a iniciar una auditoría nueva no restauraremos ninguna sesión. en grande y en la parte derecha tenemos un modo de ataque automático o activo. si colocamos en input la url de la web a auditar comenzará a navegar a través de los diferentes enlaces y a descubrir ficheros ocultos de la misma usando diferentes técnicas como la lectura del fichero robots.txt, spider, etc. en la parte izquierda podemos ver el árbol de consultas , esto es muy útil tanto para descubrir ficheros ocultos como para descubrir formularios post dentro de la web, etc. si pulsamos sobre alguna de las peticiones podremos ver en la parte derecha los datos que se enviaron (cabeceras y formularios) así como los que se recibieron, además, pulsando con botón derecho podremos reenviar la petición o modificarla , aunque eso lo veremos mas abajo junto al modo de ataque pasivo. cuando el análisis automático haya terminado podremos ver en la parte inferior un listado de alertas y vulnerabilidades sobre el sitio web. poc: análisis pasivo de un sitio web: ataques de fuerza bruta y búsqueda de xss con zap el análisis pasivo mediante zap nos permite navegar por el sitio web como si fuésemos un usuario más del sitio y, posteriormente, realizar pruebas de penetración sobre las diferentes partes que hemos visitado. para ello zap creará un proxy en nuestro equipo local. podemos modificar los parámetros del proxy (como el puerto) yendo a el botón de configuración (rueda dentada) y seleccionando el menú proxy local. una vez configurado a nuestro gusto deberemos configurar nuestro navegador con el proxy localhost y el puerto que hayamos elegido, normalmente el 8080. una vez tenemos todo funcionando, si empezamos a navegar por un sitio web con el navegador, veremos que todas nuestras consultas van quedando reflejadas dentro de zap y que podemos consultarlas, modificarlas, etc. igual que si hubiésemos hecho un análisis activo. la ventaja es obviamente que generaremos mucho menos ruido que con el ataque activo. para nuestro ejemplo de fuerza bruta vamos a colocarnos sobre una de las peticiones de tipo post que se han hecho en un formulario de login, pulsaremos con el botón derecho y dentro del mismo iremos a la opción atacar>fuzz . a continuación se nos abrirá una ventana donde podemos ver los detalles de la petición y la respuesta. para nuestro primer ejemplo vamos a intentar un ataque de fuerza bruta contra el campo “pwd” correspondiente al password del usuario, así que elegiremos el valor que se ha enviado en la petición y nos iremos al botón “add” para añadir un diccionario que pruebe en lugar del valor. veréis que hay varios de diccionarios ya creados, algunos son, por ejemplo sentencias sqli o ataques xss de forma que podamos probar toda una batería de combinaciones contra el campo. en nuestro caso y como vamos a hacer un ataque de fuerza bruta elegiremos un diccionario propio que contenga diferentes tipos de contraseñas continuar leyendo → categorías: internet , pentesting , seguridad etiquetado curso , fuerza bruta , hacking , howto , owasp , pentesting , proxy , seguridad , sql injection , xss , zap | escribir un comentario qué es hsts y cuáles son sus vectores de ataque 27 abril, 2017 a las 0:00 últimamente veo en gran cantidad de foros y grupos de telegram gente que empieza con las auditorías de red a aprender técnicas de mitm y a jugar con herramientas como sslstrip2 que se fustran al ver que no pueden realizarlos en algunos sitios como facebook. el motivo de esto es que estos sitios tienen una característica llamada hsts, pero ¿qué es hsts y cual es la diferencia con respecto a https/ssl?. bueno, realmente hsts ( http strict transport security) no es diferente a ssl, realmente hsts es un añadido a ssl. para explicar por tanto qué es hsts vamos a explicar primeramente cómo funcionan normalmente las webs https. el usuario introduce el dominio en su explorador sin indicar el protocolo. el explorador hace una petición http hacia el servidor web. el servidor web le envía una cabecera indicandole que se dirija a la versión https el navegador hace una petición hacia https. si recordamos, las herramientas como sslstrip funcionan aprovechándose del segundo paso y tercer paso en el cual el navegador hace una consulta insegura contra el servidor web y este le envía una respuesta igualmente insegura redirigiéndole hacia la versión segura. sslstrip elimina la cabecera que redirige hacia la versión https y crea un túnel inseguro entre el atacante y la víctima y otro seguro el atacante y el servidor legítimo, de forma que las peticiones el cliente las haga a el atacante mediante http y el atacante las reenvíe hacia la versión https. ¿entonces qué es hsts y por qué impide que pueda usarse sslstrip? bien, hsts es una cabecera que envía el servidor web que indica que a partir de ese momento todas las peticiones que se hagan hacia el servidor se hagan a través de https independientemente de que se indique el protocolo o no. en esta cabecera, además irá un número de segundos en los que esta directiva debe cumplirse. aquí podéis ver un ejemplo de dicha cabecera enviada desde www.facebook.com que indica que las futuras peticiones se hagan siempre por https durante los próximos 15552000 segundos, es decir 180 días. por tanto, el único momento donde sslstrip podría atacar la conexión es la primera conexión que hace el navegador hacia facebook una vez instalado o la primera vez que se realiza una petición transcurridos 180 días desde la última lo cual hace que el ataque de sslstrip sea obviamente mucho mas complicado. además de esto y por si fuese poco, previniendo que se haga un ataque en la primera conexión (con el navegador recién instalado) algunos navegadores como google chrome incorporan precargada una lista de dominios que funcionan mediante hsts, de forma que la primera conexión nada mas instalar el navegador se haga también mediante https. así pues, podríamos definir que para atacar una web con hsts es mantener sslstrip hasta que la directiva caducase, el gran problema es que cada nueva petición enviada hacia la web renovaría el tiempo que debe permanecer dicha directiva pues la cabecera volverá a enviarse, por tanto la víctima debería haber estado el tiempo suficiente sin usar la web en cuestión (en nuestro ejemplo 180 días) para que la política caducase. entonces ¿de qué forma pueden interceptarse el tráfico entre una web con hsts y la víctima? la solución mas habitual es cambiar la hora del equipo víctima para hacerlo viajar en el tiempo hasta un momento que la directiva hsts esté caducada. atacando un sitio web con hsts habilitado gracias a delorean todos sabemos que los sistemas operativos realizan una consulta hacia determinados servidores mediante el protocolo ntp para mantener sincronizado su reloj. delorean es una utilidad capaz de interceptar las peticiones ntp de la red y modificarlas para así cambiar la hora en los equipos víctimas por tanto si conseguimos establecer el reloj de una máquina fuera del rango de validez de la política strict-transport-security pod

URL analysis for diazsecurity.com

https://www.diazsecurity.com/2008/05/
https://www.diazsecurity.com/wp-content/uploads/2017/03/comparativa-1.png
https://www.diazsecurity.com/2013/04/ingenieria-social-mediante-solicitudes-http-remotas-un-ejemplo-de-phishing/
https://www.diazsecurity.com/2010/10/
https://www.diazsecurity.com/2011/04/
https://www.diazsecurity.com/wp-content/uploads/2017/04/sin-nombre-7.png
https://www.diazsecurity.com/category/servicios/
https://www.diazsecurity.com/tag/proxychains/
https://www.diazsecurity.com/tag/portfwd/
https://www.diazsecurity.com/category/pentesting/
https://www.diazsecurity.com/2013/03/
https://www.diazsecurity.com/tag/proxy/
https://www.diazsecurity.com/2017/03/embeber-ejecutables-en-macros-de-wordexcel-2-de-2/#more-2840
https://www.diazsecurity.com/2017/03/metodos-de-bypass-en-la-subida-de-ficheros-web/#comments
https://www.diazsecurity.com/2011/05/

Whois Information

Whois is a protocol that is access to registering information. You can reach when the website was registered, when it will be expire, what is contact details of the site with the following informations. In a nutshell, it includes these informations;

Domain Name: DIAZSECURITY.COM
Registry Domain ID: 2104589815_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.scip.es
Registrar URL: http://www.dondominio.com
Updated Date: 2018-02-12T11:32:18Z
Creation Date: 2017-03-13T16:59:02Z
Registry Expiry Date: 2019-03-13T16:59:02Z
Registrar: Soluciones Corporativas IP, SL
Registrar IANA ID: 1383
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: 34871986387
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.DONDOMINIO.COM
Name Server: NS2.DONDOMINIO.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2018-07-13T02:57:23Z <<<

For more information on Whois status codes, please visit https://icann.org/epp

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar. Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services' ("VeriSign") Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability. VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

  REGISTRAR Soluciones Corporativas IP, SL

SERVERS

  SERVER com.whois-servers.net

  ARGS domain =diazsecurity.com

  PORT 43

  TYPE domain

DOMAIN

  NAME diazsecurity.com

  CHANGED 2018-02-12

  CREATED 2017-03-13

STATUS
clientTransferProhibited https://icann.org/epp#clientTransferProhibited

NSERVER

  NS1.DONDOMINIO.COM 37.152.88.11

  NS2.DONDOMINIO.COM 178.33.146.34

  REGISTERED yes

Mistakes

The following list shows you to spelling mistakes possible of the internet users for the website searched .