HD Moore, líder del proyecto Metasploit, destapaba hace algunos días un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft ha publicado un aviso de seguridad con instrucciones para mitigar el fallo.

Moore identificaba el fallo mientras estaba investigando el grave problema en archivos LNK que fue conocido en Windows hace algunos días. A su vez Acros, una compañía de seguridad eslovena, hablaba de una vulnerabilidad en iTunes por la que, si se abría un archivo asociado a iTunes desde una ubicación remota, iTunes podría llegar a cargar más DLLs desde esa ubicación. HD Moore comenzó a buscar más aplicaciones que se comportasen de este modo.

Así, el problema está en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero en estos momentos se conocen cientos. El número, además, será mayor con el tiempo.

This book teaches OO PHP by doing it. If you are a PHP programmer who wants to make the switch to an OO approach, Object-Oriented PHP can ease the transition from procedural to object-oriented programming (OOP). Basic concepts are introduced using simple but useful classes. In short, this book: Brings together information from a variety of sources for a comprehensive overview of OO PHP Explains OO concepts through concrete examples, not in the abstract. Takes a practical and easy-to-understand approach Demonstrates the advantages of OOP rather than just asserting them The classes developed in this book are fully functional and are all available for download at the companion website. This code can be put to work immediately in a variety of situations. The code takes full advantage of the capabilities of PHP 5 but, where possible, a PHP 4 version of the code is also provided, because you don’t always have a choice about where your code is deployed. Additionally, this will ease the transition for anyone ready familiar with OOP under PHP 4.

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado.
Su nombre original es "Cross Site Scripting", y es abreviado como XSS para no ser confundido con las siglas CSS, (hojas de estilo en cascada). Las vulnerabilidades de XSS originalmente abarcaban cualquier ataque que permitiera ejecutar código de "scripting", como VBScript o JavaScript, en el contexto de otro sitio web (y recientemente esto se podría clasificar más correctamente como "distintos orígenes").

Estos errores se pueden encontrar en cualquier aplicación que tenga como objetivo final, el presentar la información en un navegador web. No se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en sí. El problema está en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicación. Esta vulnerabilidad puede estar presente de forma directa (también llamada persistente) o indirecta (también llamada reflejada).

    * Directa (Persistente): este tipo de XSS comúnmente filtrado, y consiste en invadir código HTML peligroso en sitios que así lo permiten; incluyendo así etiquetas como lo son <script> o <iframe>.

    * Indirecta (Reflejada): este tipo de XSS consiste en modificar valores que la aplicación web utiliza para pasar variables entre dos páginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP (en algunos navegadores y aplicaciones web, esto podría extenderse al DOM del navegador).

Recientemente se ha parcheado una vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root.

La vulnerabilidad ha sido descubierta por Rafal Wojtczuk de Invisible Things Labs, la empresa de la conocida investigadora Joanna Rutkowska. Rafal descubrió el bug mientras estaba trabajando en la virtualización de la interfaz de usuario del sistema operativo Qubes.

Qubes es el proyecto más ambicioso de Rutkowska, un sistema operativo que permite virtualizar procesos independientemente.

Según Rutkowska el bug descubierto podría haber estado ya presente desde la introducción de la rama 2.6 a finales de 2003. Aunque en un primer momento los investigadores reportaron el error a los desarrolladores del servidor X (X.org) finalmente se derivó a los mantenedores del kernel. Esto fue debido a que no se trataba de un fallo inherente al servidor X sino a la forma en la que el kernel maneja la memoria en determinadas circunstancias.

SQL Injection Attacks and Defense
474 pages | Syngress (May 15, 2009) | ISBN: 1597494240 | PDF | 6.5 MB

SQL injection represents one of the most dangerous and well-known, yet misunderstood, security vulnerabilities on the Internet, largely because there is no central repository of information to turn to for help. This is the only book devoted exclusively to this long-established but recently growing threat.

It includes all the currently known information about these attacks and significant insight from its contributing team of SQL injection experts.
- What is SQL injection?-Understand what it is and how it works
- Find, confirm, and automate SQL injection discovery
- Discover tips and tricks for finding SQL injection within the code
- Create exploits using SQL injection
- Design to avoid the dangers of these attacks

Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS (versión 15.1(2)T) durante la fase de establecimiento TCP.

La vulnerabilidad, que se puede explotar de forma remota, sólo afecta a los dispositivos con versión de IOS 15.1(2)T. El problema reside en un error en el tratamiento de paquetes entrantes durante la fase de establecimiento TCP. Como resultado podría dar lugar a que las conexiones TCP embrionarias permanezcan en un estado SYNRCVD o SYNSENT y lleguen a consumir los recursos del sistema e impidan que los dispositivos afectados acepten o inicien nuevas conexiones TCP.

Attacks to network infrastructure affect large portions of the Internet at a time and create large amounts of service disruption, due to breaches such as IP spoofing, routing table poisoning and routing loops. Daily operations around the world highly depend on the availability and reliability of the Internet, which makes the security of this infrastructure a top priority issue in the field.

Network Infrastructure Security is a book that bridges the gap between the study of the traffic flow of networks and the study of the actual network configuration. This book makes effective use of examples and figures to illustrate network infrastructure attacks from a theoretical point of view. The book includes conceptual examples that show how network attacks can be run, along with appropriate countermeasures and solutions.

Paperback: 640 pages
Publisher: Wiley; 1 edition (January 31, 2003)
Language: English
ISBN-10: 0471218219
ISBN-13: 978-0471218210

Book Description
* Provides readers with end-to-end shell scripts that can be used to automate repetitive tasks and solve real-world system administration problems
* Targets the specific command structure for four popular UNIX systems: Solaris, Linux, AIX, and HP-UX
* Illustrates dozens of example tasks, presenting the proper command syntax and analyzing the performance gain or loss using various control structure techniques
* Web site includes all the shell scripts used in the book

Synopsis
Provides readers with end--to--end shell scripts that can be used to automate repetitive tasks and solve real--world system administration problems Targets the specific command structure for four popular UNIX systems: Solaris, Linux, AIX, and HP--UX Illustrates dozens of example tasks, presenting the proper command syntax and analyzing the performance gain or loss using various control structure techniques Web site includes all the shell scripts used in the book

JpGraph es una librería PHP que nos permitirá la creación de gráficos de forma sencilla. Soporta una gran cantidad de tipos de gráficos, lineales, de barras, sectores,... y los gráficos que genera rara vez superan los 5 KB de tamaño.

Entre las características de esta librería podemos destacar:

• Detecta de forma automática la versión de librería GD que tiene instalado.
• Se puede asignar texto a las imágenes y seleccionar el tipo de letra que queremos ponerle.
• Manejo de las escalas para los  ejes de las gráficas.
• Soporta formatos de imágenes PNG, GIF y JPG.
• Tiene una gran documentación con referencias a todas las funciones disponibles.
• Se pueden mezclar tipo distintos de gráficas en una misma imagen.

En las últimas horas, el servidor fue víctima de una ataque ddos (Denial of Service)por 3 horas, luego de las cuales se pudo bannear a las ips atacantes y ahora ya estamos de nuevo online.

más información: http://es.wikipedia.org/wiki/Ataques_de_denegaci%C3%B3n_de_servicio