.Net Adventure Center: Seguridad

Critical Update for SQL Server 2005 Service Pack 2

Thu, 08 Mar 2007 05:03:26 GMT

Si bajaron el SP2 de SQL Server 2005 antes del 5 de Marzo y lo han instalado, entonces deberan instalar este parche que soluciona algunos problemas con los intervalos de limpieza en los planes de mantenimiento y algunos paquetes de Integration Services, a continuación les dejo el link para su descarga y el enlace a la referencia en la Knowledge Base donde podrán investigar más sobre las consecuencias y formas de evitar estos inconvenientes.

Critical Update for SQL Server 2005 Service Pack 2 (KB:933508)

Knowledge Base (KB) article 933508

Seguridad en ASP.Net AJAX

Mon, 22 Jan 2007 02:51:35 GMT

Como desarrolladores siempre estamos evaluando e implementando nuevas tecnologías en nuestros desarrollos, pero también debemos tener en cuenta los aspectos relacionados con la seguridad, ya que nuevas tecnologías implican nuevas técnicas de ataque, la gente de MSDN es consciente de esta problemática y es por ello que junto a SPI Dynamics están presentando una serie de cinco Webcasts centrados en la seguridad de las aplicaciones AJAX, a continuación les dejo la lista de enlaces para poder registrarse a los mismos.

AJAX Security Basics- The Building Blocks to Protecting Your Applications Built with ASP.NET AJAX - On demand

How Hackers Reverse Engineer and Exploit an ASP.NET AJAX Application - January 25

The Brave New World of AJAX Hacking (and prevention using ASP.NET) - February 01

The Next Generation of AJAX Attacks – A New Generation of Attack Theories - February 15

Best Practices: A Look at Developer ASP.NET AJAX Security Mistakes - February 22

Para finalizar quiero hacer una pequeña rectificación, ya que en un post anterior comente que la RTM de ASP.Net AJAX sería presentada en el transcurso de la semana pasada y no fue así, la nueva fecha de presentación es el 23 de enero, así que solo me resta esperar y si todo sale bien, el martes les estaré informando del lanzamiento, las novedades y los links para el download.

Microsoft Anti-Cross Site Scripting Library 1.5

Thu, 23 Nov 2006 21:13:44 GMT

En Marzo de este año les comente sobre la Microsoft Anti-Cross Site Scripting Library 1.0, paso el tiempo y hace un par de días se libero la versión 1.5 de la misma, esta trae muchísimas novedades, la Anti-Cross Site Scripting Library dejo ya de ser una versión mejorada de System.Web.HttpUtility.HtmlEncode, y ahora cubre muchos más escenarios de inyección de código como podrán ver en el siguiente artículo en el blog del ACE Team (Application Consulting & Engineering).

Microsoft Anti-Cross Site Scripting Library V1.5 is Released!

Los ataques XSS son los causantes del mayor numero de perdidas, robos de información y “hackeos ” en la actualidad y los damnificados van desde sitios personales hasta los de grandes corporaciones o empresas con gran volumen de visitas, tal es el caso de uno de los dos grandes sitios de subastas por internet de la Argentina, en uno de ellos pude comprobar personalmente que se podía hacer un ataque XSS en varias secciones del mismo, envié un email comunicando esto, pero al parecer o no lo consideraron una amenaza o termino en la basura como junk mail.

A continuación les dejo el link para bajar la Microsoft Anti-Cross Site Scripting Library 1.5 y otros con recursos adicionales para profundizar más en el tema.

Download Microsoft Anti-Cross Site Scripting Library 1.5

Webcast Net Protector Misión 3: La Magia de la Inseguridad

How To: Prevent Cross-Site Scripting in ASP.NET

Microsoft Anti-Cross Site Scripting Library V1.5: Protecting the Contoso Bookmark Page

Microsoft Private Folder, no tan privado

Mon, 04 Sep 2006 19:49:59 GMT

Hace un tiempo Microsoft lanzo una herramienta llamada Private Folder, la idea era tener de una manera fácil y rápida una carpeta con acceso solo con password para guardar cosas privadas, a los días de su lanzamiento Microsoft elimino el download de Private Folder por las quejas recibidas de parte de administrados de IT por los posibles problemas que ocurrirían con perdidas de contraseñas y soporte, pero desde diversas fuentes el programa se puede aun bajar y por lo que he visto se está usando mucho.

Bien, hoy mientras instalaba la RC1 de Windows Vista, estaba navegando por el disco esclavo donde tengo mi XP con Private Folder y veo la carpeta My Private Folder dentro de mi perfil en Documents and Settings, hago doble click en ella y para mi sorpresa accedí a todo el contenido de la misma sin pedirme password, o darme un error por falta de permisos.

Reinicie la PC, arranque en modo seguro solo símbolo del sistema, navegue hasta la misma carpeta, y otra vez acceso total a todos los archivos, por ultimo en mi XP, cree otro usuario e intente hacer lo mismo pero esta vez si me dio un error y no me dejo acceder a la carpeta, esta vez funciono como debía por que el servicio estaba corriendo.

Developer Highway Code

Fri, 07 Jul 2006 01:32:56 GMT

Se encuentra disponible para su descarga la Developer Highway Code, esta es una pequeña guía basada en las recomendaciones provistas por Microsoft Patterns & Practices para mejorar la seguridad de nuestros desarrollos.

Download Developer Highway Code

Microsoft Threat Analysis & Modeling 2.0 RTM

Fri, 07 Jul 2006 01:26:36 GMT

Acaba de ser liberada la RTM de Microsoft Threat Analysis & Modeling v2.0, esta herramienta analizar nuestras aplicaciones a través del ingreso de datos tales como tipo de aplicación, autenticación, roles y muchas variables mas, al finalizar nos prepara un completo reporte con recomendaciones para mejorar su seguridad.

El blog de Threat Analysis & Modeling

Video tutoriales de Microsoft Threat Analysis & Modeling

Microsoft Anti-Cross Site Scripting Library

Mon, 06 Mar 2006 11:47:38 GMT

Una forma simple de mitigar un ataque XSS es usando System.Web.HttpUtility.HtmlEncode, el problema de HtmlEncode, es que no discrimina entre caracteres buenos y malos, esta librería viene a solucionar este problema.

Caracteres “buenos”

a-z (minúsculas)
A-Z (mayúsculas)
0-9 (Valores Numéricos)
, (Coma)
. (Periodo)
_ (Underscore)
- (signo menos)
(Espacio)—Excepto en URLEncode

Caracteres “malos”

<
>
&
“
Caracteres con valores entre 160-255 inclusive

Download Microsoft Anti-Cross Site Scripting Library

Information on Cross-Site Scripting Security Vulnerability

Dan Sellers's WebLog

Modulo 6 de la ALSI , aprobado !!!

Sun, 12 Feb 2006 19:57:55 GMT

Después de un tiempo de descanso, he vuelto con las pilas bien puestas, la primera víctima fue el examen del modulo 6 de la ALSI, el cual acabo de aprobar.

Fin de la Primera etapa de la ALSI

Sat, 19 Nov 2005 01:26:25 GMT

Acabo de terminar de rendir el módulo 4 de la primera etapa de la Academia Latinoamericana de Seguridad Informática, ahora el examen en vez de 10 preguntas tiene 15 y es un poquito más difícil, aunque no tanto si has leído los apuntes.

Para quienes no conocen la ALSI , esta es una iniciativa del Tecnológico de Monterrey, E-Modulo, I-Sec y Microsoft. Este 21 de noviembre comienza una nueva generación así que no pierdas tiempo e inscríbete.