Herramientas para crear USB que analice malware (Parte 1 de 3)

Para los analistas de seguridad o los que se introducen en el mundo de limpiar computadoras siempre es importante tener sus herramientas para analizar el malware, bueno, hoy traigo un kit tools para analizar malware desde una USB. Son herramientas de seguridad desde observación de procesos hasta el análisis de tráfico de paquetes en redes, la mayoría son herramientas de Windows.

Estas herramientas son las que más destacan sobre el kit de Sysinternals Suite. La suite de Sysinternals es imprescindible en casi cualquier tarea de administración, reparación, pero también en materia de malware.

Autoruns: Esta herramienta permite ver de manera muy clara que programas se inician con el sistema. Permite además realizar snapshots. Esto nos sirve porque, imaginad que estamos en una empresa y hay dos máquinas iguales. Con Autoruns podríamos hacer uns snapshot de la máquina limpia, otro snapshot de la máquina infectada y poder comparar los resultados.

Uso

Simplemente ejecute Autoruns y le mostrará las aplicaciones de inicio automático configuradas actualmente, así como la lista completa de ubicaciones del Registro y sistema de archivos disponibles para la configuración de inicio automático. Las ubicaciones de inicio automático que muestra Autoruns incluyen entradas de inicio de sesión, complementos del Explorador, complementos de Internet Explorer que incluyen objetos del ayudante del explorador (BHO), DLL de Appinit, apropiaciones de imágenes, imágenes de ejecución de inicialización, DLL de notificación de Winlogon, Servicios de Windows y proveedores de servicio por capas Winsock. Cambie las fichas para ver los inicios automáticos de categorías diferentes.

Para ver las propiedades de un archivo ejecutable configurado para ejecutarse automáticamente, selecciónelo y utilice el elemento de menú Properties o el botón de la barra de herramientas. Si Process Explorer está en ejecución y hay un proceso activo que ejecuta el archivo ejecutable seleccionado, el elemento de menú Process Explorer del menú Entryabrirá el cuadro de diálogo de propiedades del proceso que ejecuta la imagen seleccionada.

Diríjase a la ubicación del Registro o el sistema de archivos que se muestra o a la configuración de un elemento de inicio automático seleccionando el elemento y usando el elemento de menú Jump o el botón de la barra de herramientas.

Para deshabilitar una entrada de inicio automático, desactive su casilla de verificación. Para eliminar una entrada de configuración de inicio automático, use el elemento de menú Delete o el botón de la barra de herramientas.

Seleccione entradas en el menú User para ver imágenes de inicio automático para cuentas de usuario diferentes.

Hay disponible más información sobre las opciones de visualización e información adicional en la ayuda en línea.

Sintaxis de Autorunsc

Autorunsc es la versión de línea de comandos de Autoruns. Su sintaxis es:

Uso: autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [user]

-a Muestra todas las entradas.

-b Inicia la ejecución.

-c Imprime el resultado como CSV.

-d DLL de Appinit.

-e Complementos del Explorador.

-h Apropiaciones de imágenes.

-i Complementos de Internet Explorer.

-l Inicios de sesión (valor predeterminado).

-m Oculta las entradas de Microsoft firmadas.

-n Proveedores de protocolo Winsock.

-p Controladores de monitor de impresora.

-r Proveedores de LSA.

-s Servicios de inicio automáticos y controladores no deshabilitados.

-t Tareas programadas.

-v Comprueba firmas digitales.

-w Entradas de Winlogon.

user Inicios automáticos de volcado para la cuenta de usuario especificada.

Portmon: Esta herramienta nos permitirá ver de manera detallada la actividad en puertos serie y paralelo.

Supervisión remota: Captura el resultado del depurador en Win32 o modo núcleo de cualquier equipo accesible mediante TCP/IP, incluso por Internet. Puede supervisar varios equipos remotos simultáneamente. Portmon instalará aún su software cliente si lo ejecuta en un sistema Windows NT/2K y está capturando de otro sistema Windows NT/2K en el mismo entorno de red.

• Listas de filtros más recientes: Portmon se ha ampliado con capacidades eficaces de filtrado y recuerda las selecciones de filtro más recientes, con una interfaz que hace sencillo seleccionarlos de nuevo.
• Copia en el Portapapeles: selecciona varias líneas en la ventana de resultados y copia su contenido en el Portapapeles.
• Resaltado: resalta el resultado del depurador que coincida con el filtro de resaltado e incluso personaliza los colores de resaltado.
• Registro en archivo: escribe el resultado del depurador en un archivo a la vez que se captura.
• Impresión: imprime todo o parte del resultado del depurador capturado en una impresora.
• Carga de un archivo:Portmon ahora se implementa como un archivo.

Process Explorer: Este programa nos permite ver MUY detalladamente los procesos abiertos en el sistema.

Además nos permite ver que archivos tiene abiertos que procesos. Si los procesos están iniciados con soporte para DEP o ALSR. Y de manera gráfica procesos padre e hijos. Muy recomendable, la verdad.

La pantalla de Process Explorer incluye dos subventanas. La ventana superior siempre muestra una lista de los procesos activos, incluidos los nombres de sus cuentas de propiedad; mientras que la información mostrada en la ventana inferior depende del modo en que se encuentre Process Explorer: si está en modo de identificador, verá los identificadores que ha abierto el proceso seleccionado en la ventana superior; si Process Explorer está en modo de DLL, verá los archivos DLL y los asignados en memoria que el proceso ha cargado. Process Explorer también tiene una eficaz capacidad de búsqueda que le mostrará rápidamente los procesos que hayan abierto ciertos identificadores o cargado determinados archivos DLL.

Las capacidades únicas de Process Explorer lo convierten en una útil herramienta para la localización de problemas de versión de DLL o pérdidas de identificadores, y ofrece detalles internos acerca del funcionamiento de Windows y las aplicaciones.

La siguiente parte se pondrán más herramientas de malware. Comenten si les gustó el post. 

Read More

Hackers & Developers No. 3, 4, 5 y 6 [Revista]

Hola, hace unos meses les había mencionado una revista llamada Hackers & Developers, una revista sobre hacking, programación, redes, etc., bueno, para hacer esto corto, la revista saca cada mes un número y hoy se los traigo. Esta revista hace su contenido totalmente gratuito y totalmente distribuible. Y pueden donar a través de su página si les parece que el proyecto es bueno (que realmente lo es). Pueden descargar sus revistas mes con mes desde su página:

Hackers & Developers

Les dejo los índices de cada revista a partir del número 3.

Revista 3

Revista 4

Revista 5

Revista 6

Read More

Instalar Wine en Ubuntu 13.04

Retomando el tema del nuevo Ubuntu, les traeré una serie de tutoriales sobre cosas que deberían tener o hacer en su nueva instalación de Ubuntu, si no han descargado Ubuntu 13.04 les dejo este enlace.

En esta ocasión les tengo un programa muy importante, sobre todo para los novatos en Linux; hablo de Wine, un programa que permite “emular” algunos programas de Windows en nuestro entorno, es importante resaltar que no debes abusar de este programa, ya que se trae un poco de los típicos problemas del grande de los OS, además si te la vas a pasar usando programas de este tipo no tiene ningún caso que uses una distribución libre, sin embargo, nos puede ser útil a la hora de requerir algún programa de trabajo o uno que otro juego.

Viene por defecto en los repositorios de Ubuntu pero para tener la última versión tendrán que agregar un repositorio desde la terminal, la descarga tardara varios minutos así que háganlo con tiempo.

Escriben en la terminal los siguientes comandos.

Agregar el repositorio

sudo add-apt-repository ppa:ubuntu-wine/ppa

actualizar los repositorios

sudo apt-get update

Instalar Wine

sudo apt-get install wine1.5

Instalar un complemento de Wine para tener los DLL necesarios para cada programa

sudo apt-get install winetricks

Pueden hacer los últimos dos pasos desde Synaptic para ahorrarse el tener que vigilar la consola.

Con esto ya tendrán instalado Wine, solo deben ejecutar el .exe deseado, les recuerdo que solo funciona con algunos programas, aquí dejo una lista con algunos de losprogramas compatibles.

Read More

Caracteristicas del nuevo Xbox one

“All in one”, ese podría ser el eslogan de esta nueva consola de Microsoft  los desarrolladores se centraron en darnos una nueva experiencia de entretenimiento, películas, series, música, Internet, la vieja TV y Juegos (obviamente), todo en nuestra consola.

El diseño

Empezamos enseñando el diseño que en lo personal me recuerda mucho al primer Xbox ya que es más grande y aparentemente pesado que el 360, les dejo un vídeo e imágenes para que lo vean ustedes.

Hardware

El diseño aunque grande es muy bonito, este tamaño debe de ser por el potente hardware que es bueno pero no sorprendente y de hecho es muy parecido al el del PS4.

TV en vivo desde el Xbox

Una de las nuevas características sera ver la TV en vídeo a travez del Xbox One, esto es llevar el “All in one” a otro nivel ya que permitirá ver un partido junto con estadísticas de los jugadores o de los equipos mientras hablas con tus amigos por Skype.

kinect se renueva

Según Microsoft usa una nueva tecnología que le brindará una presición mucho mayor y por esto será “obligatoria” en todas las consolas, esto tal vez sirva como motivación a los creadores de videojuegos a implementarlo en sus juegos ya que todos los usuarios lo tendrán, Kinect sera esencial en el uso del Xbox con comandos de voz y gestos que nos servirán para movernos “cómodamente” por toda la interfaz.

La polémica detrás del nuevo Xbox

Todos escuchamos hablar sobre la necesidad de una conexión a Internet permanente obligatoria y como ya lo esperábamos esto no sera así, la nueva Xbox no necesita conexión las 24 horas pero los desarrolladores de juegos podrán poner este candado si ellos lo desean, esto con la excusa de servicios en la nube.

La otra es que sí se podrá instalar juegos usados, sin embargo, se tendrá que pagar una cuota indefinida para hacerlo, los juegos en el Xbox one se instalan obligatoriamente, así que si compras o te prestan un juego previamente instalado en otra consola se te pedirá pagar una cuota, aunque esto no fue discutido ampliamente por lo tanto hay que esperar para saber todo al respecto.

En mi opinión el Xbox one es mucho más interesante que el PS4 con mucho mejores características y se le agradece a Microsoft no hacer una conferencia aburrida como la de Sony, por el momento tendremos que aguantar al E3 para saber más de las dos consolas.

Fuentes
Xbox.com
Ecetia.com

Ustedes ¿Qué opinan? ¿Compraran un Xbox one? ¿Prefieren un PS4? 

Read More

Star Wars en Minecraft

Nada nos emociona más que algo relacionado con Star Wars, ahora hemos encontrado que un usuario de Youtube Paradise Decay está haciendo recreaciones de la película pero en el mundo de Minecraft, cuando vemos el vídeo podemos observar un nivel de detalle muy alto. El usuario dice que quiere hacer todas las serie de Star Wars de esta manera, eso le tomará un tiempo, pero por lo que lleva ahora, lo está haciendo muy bien.

Read More

Se confirma la quinta temporada de Community

Ha sido una etapa difícil para los fans con el creador de la serie Dan Harmon despedido por la NBS, una cuarta temporada que no acaba de convencer y con la retirada de Chevy Chase, a pesar de todo esto se ha anunciado que habrá 13 episodios de una quinta temporada y no se cierra el paso a más episodios de esta o de una sexta temporada.

Esto es resultado de una campaña de la productora Sony que al ver el bajo nivel de audiencia, decidieron lanzar un vídeo en donde pedían a los seguidores del sitcom ver el episodio en directo, una estrategia desesperada pero en este caso efectiva.


Así que la comedia tendrá otra oportunidad y esperemos que no nos decepcione y que recupere aunque sea un poco ese toque que hizo de Community una serie con millones de fans fieles.

Ustedes ¿qué opinan? ¿les agrada la idea de una quinta temporada o preferirían que se acabara para preservar su legado?

Fuente

Read More

Comandos útiles para GNU/Linux

Hoy les traigo una lista de comandos de GNU/Linux que encontré. Pueden servir a la hora de usar la consola o querer hacer algo más complicado en el sistema operativo, van desde cosas sencillas como comandos para apagar la computadora o modificar archivos y directorios hasta hacer particiones, modificar el sistema, monitoreo y depuración, etc. Espero que les sirva para cuando usen GNU/Linux.

Índice:

Información del Sistema

Apagar (Reiniciar o Cerrar Sesión)
Archivos y Directorios
Encontrar archivos
Montando un sistema de ficheros
Espacio de Disco
Usuarios y Grupos
Permisos en Ficheros (Usa ”+” para colocar permisos y ”-” para eliminar)
Atributos especiales en ficheros (Usa ”+” para colocar permisos y ”-” para eliminar)
Archivos y Ficheros comprimidos
Paquetes RPM (Red Hat, Fedora y similares)
Actualizador de paquetes YUM (Red Hat, Fedora y similares)
Paquetes Deb (Debian, Ubuntu y derivados)
Actualizador de paquetes APT (Debian, Ubuntu y derivados)
Ver el contenido de un fichero
Manipulación de texto
Establecer caracter y conversión de ficheros
Análisis del sistema de ficheros
Formatear un sistema de ficheros
Trabajo con la SWAP
Salvas (Backup)
CD-ROM
Trabajo con la RED (LAN y Wi-Fi)
Redes de Microsoft Windows (SAMBA)
Tablas IP (CORTAFUEGOS)
Monitoreando y depurando
Otros comandos útiles


Información del sistema

1. arch: mostrar la arquitectura de la máquina (1).
2. uname -m: mostrar la arquitectura de la máquina (2).
3. uname -r: mostrar la versión del kernel usado.
4. dmidecode -q: mostrar los componentes (hardware) del sistema.
5. hdparm -i /dev/hda: mostrar las características de un disco duro.
6. hdparm -tT /dev/sda: realizar prueba de lectura en un disco duro.
7. cat /proc/cpuinfo: mostrar información de la CPU.
8. cat /proc/interrupts: mostrar las interrupciones.
9. cat /proc/meminfo: verificar el uso de memoria.
10. cat /proc/swaps: mostrar ficheros swap.
11. cat /proc/version: mostrar la versión del kernel.
12. cat /proc/net/dev: mostrar adaptadores de red y estadísticas.
13. cat /proc/mounts: mostrar el sistema de ficheros montado.
14. lspci -tv: mostrar los dispositivos PCI.
15. lsusb -tv: mostrar los dispositivos USB.
16. date: mostrar la fecha del sistema.
17. cal 2011: mostrar el almanaque de 2011.
18. cal 07 2011: mostrar el almanaque para el mes julio de 2011.
19. date 041217002011.00: colocar (declarar, ajustar) fecha y hora.
20. clock -w: guardar los cambios de fecha en la BIOS.

Apagar (Reiniciar Sistema o Cerrar Sesión)

1. shutdown -h now: apagar el sistema (1).
2. init 0: apagar el sistema (2).
3. telinit 0: apagar el sistema (3).
4. halt: apagar el sistema (4).
5. shutdown -h hours:minutes &: apagado planificado del sistema.
6. shutdown -c: cancelar un apagado planificado del sistema.
7. shutdown -r now: reiniciar (1).
8. reboot: reiniciar (2).
9. logout: cerrar sesión.

Archivos y Directorios

1. cd /home: entrar en el directorio “home”.
2. cd .. :retroceder un nivel.
3. cd ../..: retroceder 2 niveles.
4. cd: ir al directorio raíz.
5. cd ~user1: ir al directorio user1.
6. cd -: ir (regresar) al directorio anterior.
7. pwd: mostrar el camino del directorio de trabajo.
8. ls: ver los ficheros de un directorio.
9. ls -F: ver los ficheros de un directorio.
10. ls -l: mostrar los detalles de ficheros y carpetas de un directorio.
11. ls -a: mostrar los ficheros ocultos.
12. ls *[0-9]*: mostrar los ficheros y carpetas que contienen números.
13. tree: mostrar los ficheros y carpetas en forma de árbol comenzando por la raíz.(1)
14. lstree: mostrar los ficheros y carpetas en forma de árbol comenzando por la raíz.(2)
15. mkdir dir1: crear una carpeta o directorio con nombre ‘dir1?.
16. mkdir dir1 dir2: crear dos carpetas o directorios simultáneamente (Crear dos directorios a la vez).
17. mkdir -p /tmp/dir1/dir2: crear un árbol de directorios.
18. rm -f file1: borrar el fichero llamado ‘file1?.
19. rmdir dir1: borrar la carpeta llamada ‘dir1?.
20. rm -rf dir1: eliminar una carpeta llamada ‘dir1? con su contenido de forma recursiva. (Si lo borro recursivo estoy diciendo que es con su contenido).
21. rm -rf dir1 dir2: borrar dos carpetas (directorios) con su contenido de forma recursiva.
22. mv dir1 new_dir: renombrar o mover un fichero o carpeta (directorio).
23. cp file1: copiar un fichero.
24. cp file1 file2: copiar dos ficheros al unísono.
25. cp dir /* .: copiar todos los ficheros de un directorio dentro del directorio de trabajo actual.
26. cp -a /tmp/dir1 .: copiar un directorio dentro del directorio actual de trabajo.
27. cp -a dir1: copiar un directorio.
28. cp -a dir1 dir2: copiar dos directorio al unísono.
29. ln -s file1 lnk1: crear un enlace simbólico al fichero o directorio.
30. ln file1 lnk1: crear un enlace físico al fichero o directorio.
31. touch -t 0712250000 file1: modificar el tiempo real (tiempo de creación) de un fichero o directorio.
32. file file1: salida (volcado en pantalla) del tipo mime de un fichero texto.
33. iconv -l: listas de cifrados conocidos.
34. iconv -f fromEncoding -t toEncoding inputFile > outputFile: crea una nueva forma del fichero de entrada asumiendo que está codificado en fromEncoding y convirtiéndolo a ToEncoding.
35. find . -maxdepth 1 -name *.jpg -print -exec convert ”{}” -resize 80×60 “thumbs/{}” \;: agrupar ficheros redimensionados en el directorio actual y enviarlos a directorios en vistas de miniaturas (requiere convertir desde ImagemagicK).

Read More

Las cinco vulnerabilidades más críticas según OWASP (Primera Parte)

OWSAP (The Open Web Application Security Project) ha lanzado un top 10 de las vulnerabilidades más críticas en las páginas web. Hoy en día, donde la World Wide Web crece a pasos agigantados los problemas de seguridad en las páginas web cada vez son más grandes.

Hoy les dejo esta información que es de mucha ayuda para aquellos dueños de sitios web o en su defecto los webmaster de esos sitios. Les dejaré las cinco primeras vulnerabilidades, este post será dividido en tres partes para que puede tratar de explicar y desarrollar cada vulnerabilidad para su mejor comprensión y prevenir mejor estas vulnerabilidades sin agobiarlos de tanta información en un post.

OWASP Top Ten 2013 Project

 1. Inyecciones de código

¿Qué es?

El atacante envía simples ataques basados ​​en texto que explotan la sintaxis. Casi cualquier fuente de datos puede ser un vector de inyección, incluyendo fuentes internas.

¿Cómo sucede?

Las fallas de inyección ocurren cuando una aplicación envía datos no confiables a un intérprete. Las fallas de inyección son muy frecuentes, sobre todo en el código heredado. A menudo se encuentran en SQL, LDAP o consultas XPath, comandos del sistema operativo, los analizadores XML, los argumentos del programa, etc. Las fallas de inyección son fáciles de descubrir al examinar el código, pero más difícil a través de pruebas. Scáners y fuzzers pueden ayudar a encontrar a los atacantes.

Consecuencias:

La inyección puede causar la pérdida de datos o la corrupción, la falta de rendición de cuentas, o la denegación de acceso. La inyección a veces puede llevar a la toma de posesión del servidor.

¿Cómo saber si eres vulnerable a las inyecciones?

La mejor manera de saber si una aplicación es vulnerable a la inyección es verificar que todo uso de intérpretes separa claramente los datos no confiables desde el comando o consulta. Para las llamadas SQL, esto significa utilizar variables bind en todas las sentencias preparadas y procedimientos almacenados, evitando consultas dinámicas. La comprobación del código es una forma rápida y precisa para ver si la aplicación utiliza intérpretes de forma segura. Las herramientas de análisis de código pueden ayudar a un analista de seguridad de encontrar el uso de intérpretes y rastrear el flujo de datos a través de la aplicación. Las pruebas de penetración pueden validar estas cuestiones por la elaboración de las hazañas que confirman la vulnerabilidad. El análisis dinámico automatizado que ejerce la aplicación puede ayudar a determinar si existen algunos errores de inyección explotables. Los scanners no siempre pueden llegar a intérpretes y tienen dificultades para detectar si un ataque tuvo éxito. La prueba de gestión de errores hace que los errores de inyección sean fácil de descubrir.

¿Cómo evitar una inyección de código?

La prevención de inyección requiere mantener los datos privados separados de comandos y consultas.

1.La opción preferida es usar una API de seguridad que evite el uso de la totalidad o  que el intérprete proporcione una interfaz parametrizada. Tengan cuidado con las APIs, tales como las de procedimientos almacenados, que son parametrizados, porque todavía pueden presentar inyección debajo de la capucha.

2.Si una API con parámetros no está disponible, deben ser cuidadosos con que no se escapen caracteres especiales usando la sintaxis de escape específico para ese intérprete. ESAPI de OWASP proporciona muchas de estas rutinas donde se escapan .

3.También se recomienda usar una "lista blanca" de validación de entrada positiva o canonización apropiada, pero no es una defensa completa ya que muchas aplicaciones requieren caracteres especiales en sus aportaciones. ESAPI de OWASP tiene una biblioteca ampliable de | lista de rutinas de validación de entrada blancas .

EJEMPLOS:

La aplicación utiliza los datos que no son de confianza en la construcción de la siguiente llamada de SQL vulnerables:

String query = "SELECT * FROM cuentas DONDE custID = '" + request.getParameter ("id") + "'";

El atacante modifica el parámetro 'id' en su navegador para enviar: 'o '1' = '1. Esto cambia el significado de la consulta para devolver todos los registros de la base de datos de las cuentas, en lugar de sólo hacer la llamada como cliente.

http://example.com/app/accountView?id = 'o '1' = '1

En el peor de los casos, el atacante utiliza esta debilidad para llamar procedimientos especiales almacenados en la base de datos que permiten una absorción completa de la base de datos y, posiblemente, el servidor que aloja la base de datos.

2. Autenticación y Gestión de Sesiones

¿Qué es?

A esta vulnerabilidad se le reconoce cuando un usuario anónimo intenta introducirse a través de la cuenta de otro o del administrador para robar las cuentas de otros usuarios. Algunos expertos en seguridad opinan que incluso para mantener o seguir las acciones de ciertos usuarios.

¿Cómo sucede?

Normalmente estos ataques suceden después de un ataque SQL o por Phishing, así obteniendo el usuario y la contraseña para después poder acceder a la cuenta para su manipulación. Desarrolladores con frecuencia construyen sistemas de gestión de sesiones y autenticación personalizada, pero la construcción de estos correctamente es difícil. Como resultado, estos esquemas personalizados con frecuencia tienen deficiencias en áreas tales como cierre de sesión, administración de contraseñas, tiempos de espera, el remember me, la pregunta secreta, cuenta de actualización, etc encontrar tales defectos a veces puede ser difícil, ya que cada aplicación es única.

Consecuencias

Tales defectos pueden permitir que algunas o incluso todas las cuentas sean atacadas. Una vez conseguido esto, el atacante puede hacer lo que sea sin que la víctima pueda hacer algo. Las cuentas con privilegios son con frecuencia son blanco de ataques.

¿Cómo saber si eres vulnerable?

Los principales activos de protección son las credenciales y los identificadores de sesión.

¿Las credenciales de autenticación siempre están protegidos cuando se almacena utilizando hash o cifrado? ¿Pueden las credenciales adivinar o sobrescrirse por funciones débiles de gestión (por ejemplo, la creación de cuentas, cambio de contraseña, recuperar la contraseña, ID de sesión débiles)?

¿Son los identificadores de sesión expuestas en la dirección URL (por ejemplo, la reescritura de URL)?

¿Son los identificadores de sesión vulnerables a la fijación de sesión ataques?

¿Cómo puedo evitar este ataque?

. Un único conjunto de controles de autenticación y gestión de sesiones fuertes controles deben esforzarse por:

1. Cumplir con todos los requisitos de autenticación y gestión de sesiones definidas en OWASP Aplicación Verificación de seguridad estándar (ASVS) áreas V2 (autenticación) y V3 (Gestión de la sesión).

2. Tener una interfaz sencilla para los desarrolladores. Considere el autenticador ESAPI y APIs usuario como buenos ejemplos a imitar, usar o aprovechar.

3.  También se deben hacer grandes esfuerzos para evitar fallas de XSS que pueden ser utilizados para robar los identificadores de sesión.

Read More