¿Qué estamos haciendo?
Esta semana en la misa de 19:30h hemos resuelto la máquina Validation y… el martes íbamos a resolver otra máquina, pero el chat se puso en acción y terminamos con un “just chatting” de 2h que se nos pasaron volando entre risas y los temas que preguntaban. Y no nos cansamos de decirlo, nos encanta ver cómo se va animando cada vez más gente a unirse a los directos y a participar.
Algo que habíamos comentado en los directos es que posiblemente los directos pasaban a ser 2 días a la semana debido que nos falta tiempo para crear y mejorar el contenido que os compartimos. Estamos teniendo un crecimiento genial y queremos poder dar el mejor contenido posible con el tiempo que tenemos, y por eso tendremos los directos los lunes, y aún nos estamos decidiendo sobre el segundo día de los directos, pero no tardaréis en saberlo 🙂
Noticia de la semana
En julio se publicó el CVE-2023-4966, que consiste en el secuestro de sesiones autenticadas evadiendo MFAs en diferentes versiones de Citrix Netscaler ADC y Citrix Netscaler Gateway, y esta semana se han publicado unas PoCs que os compartimos a continuación para que probéis y comprobéis si os afecta esta vulnerabilidad:
https://github.com/BishopFox/CVE-2023-3519
https://github.com/assetnote/exploits/tree/main/citrix/CVE-2023-4966
Recordad que es importante estar al tanto de las vulnerabilidades que se van descubriendo, sobretodo si os afectan directamente.
Tool de hacking: Censys.io
Se trata de un primo-hermano de Shodan, ya que es otro motor de búsqueda con el que es posible buscar dispositivos según palabras clave (que nos muestra cómodamente en un desplegable) y obtener información de dispositivos que cumplan estas características. Además, en el desplegable en el que vemos “Hosts”, también podemos buscar certificados, con sus correspondientes palabras clave.
Con Censys tenemos la opción de hacernos cuenta gratuita donde podemos hacer uso de la API por si queremos incluirla en nuestros scripts.
Cuenta a seguir:
Seguimos con personas que además de estar en continuo aprendizaje, lo van compartiendo con la comunidad.
Esta semana hablamos de @elhackeretico y os traemos su blog, en el que comparte su experiencia como su reciente OSCP.
Bonus track: No te lo puedes perder
Semana de newsletter, y esta vez la entrevistada es Ruth Sala, abogada penalista especializada en ciberdelincuencia.
En la pasada Navaja Negra tuvimos la suerte compartir una conversación en la que intentamos aprender de ella y de su trabajo, y lo mejor, que la hemos grabado y la tenemos disponible tanto en audio como en vídeo:
P.D: Si quieres aprender sobre auditoría web, recuerda que en la web tenemos un curso con todo lo que debes saber para dedicarte profesionalmente a ello o para mejorar tus conocimientos.