Campaña de seguridad para software libre


Con mucho orgullo presentamos la nueva campaña de Websec que contribuirá de forma gratuita con la comunidad de software libre.

Ofrecemos a proyectos de software libre nuestra experiencia y especialización en seguridad web. La auditoría se realizará sin costo a los participantes que envíen la información solicitada.

Nos gusta pensar en Websec como pioneros de la seguridad web, estamos un paso adelante en investigación de nuevas vulnerabilidades y desarrollo de los últimos métodos de explotación. Sin embargo, queremos expresar que la seguridad web es muy importante para el desarrollo de cualquier proyecto y en el caso de software libre debe ser aplicada de forma gratuita cuando sea posible.

Las vulnerabilidades que se encontrarán son, pero no están limitadas a: XSS Cross Site Scripting (persistente, reflejada, DOM) - SQLi Inyección SQL (basados en error, tiempo, union y a ciegas) - LFI/RFI Inclusión de archivos local y remota ("source code disclosure") - RCE Ejecución remota de código - CSRF Cross Site Request Forgery - Redirects abiertos - Mal manejo de sesiones - Mala autenticación

* El reporte de las vulnerabilidades se realizará de forma confidencial, al igual que la colaboración para reparar el problema.

Si le gustaría que su proyecto sea considerado tiene que seguir los lineamientos descritos más adelante. Si desea hablar bien de Websec, siempre apreciamos un buen post sobre lo bien que hacemos nuestro trabajo :)

Esperamos contar con su participación y apoyarlo en mejorar la seguridad de sus proyectos.




Lineamientos

  • Mantendrá comunicación con nosotros durante el periodo de pruebas y reparación.
  • Las vulnerabilidades encontradas serán reparadas en un tiempo razonable.
  • Las vulnerabilidades serán reportadas de forma privada al finalizar el periodo de pruebas.
  • Si una vulnerabilidad se considera de alto riesgo, será reportada inmediatamente.
  • Ayudaremos en la solución de los problemas encontrados.
  • Los detalles de las vulnerabilidades serán publicados una vez que un parche o nueva versión sera liberada.



Cuéntenos de su proyecto


Últimas entradas en nuestro blog

Panoptic
Un analisis de Panoptic, una herramienta que automatiza el proceso de búsqueda y recuperación de archivos de configuración y logs a través de vulnerabilidades tipo LFI.

Incidente de seguridad en RubyGems.org: vulnerabilidades, explotación y parches
Hace un par de semanas el sitio RubyGems fue vulnerado. ¿Qué podría pasar si algunas gemas del sitio hubieran sido envenenadas de forma exitosa por tan solo un par de horas?

Nmap 6: Network Exploration and Security Auditing Cookbook a la venta en México

Mi libro "Nmap 6:Network Exploration and Security Auditing Cookbook" finalmente esta a la venta en México

Últimas noticias

May 11, 2013
Nuevo servicio de análisis de seguridad de aplicaciones móviles
Enterate de nuestro nuevo servicio de evaluación de seguridad de aplicaciones móviles

Apr 24, 2013
GuadalajaraCON 2013
GuadalajaraCON 2013, evento de seguridad digital en México.

Últimos advisories