José Rabal Sastre

In the latest @kaptorsecurity post, I share my experience so far applying AI to pentesting tasks. Approaches, architectures, and a few tips for putting together something that actually pays off in cost-benefit terms depending on the context: kaptor.ai/blog/ai-pentes…

En la última publicación de @kaptorsecurity comparto mi experiencia a día de hoy aplicando la IA a tareas de pentesting. Enfoques, arquitecturas y algunos consejos para montar algo que realmente compense en coste-beneficio dependiendo de cada contexto: kaptor.ai/blog/ai-pentes…

Securing AI goes beyond traditional pentesting. These architectures introduce entirely new attack categories. Our latest article analyzes why AI security demands a new threat model and specialized skills: kaptor.ai/blog/classic-p…

Asegurar la IA va más allá del pentesting tradicional. Su propia naturaleza introduce categorías de ataque que antes no existían. En nuestro nuevo artículo analizamos por qué la seguridad en IA exige un nuevo modelo de amenazas y personal especializado: kaptor.ai/blog/classic-p…

We dive deeper into the new 𝗕𝗹𝗶𝗻𝗱 𝗣𝗿𝗼𝗺𝗽𝘁 𝗜𝗻𝗷𝗲𝗰𝘁𝗶𝗼𝗻 technique. Unified taxonomy of 6 variants: Boolean, Time, OOB, Streaming, Cache, Token-Count. 3 inherited from Blind SQLi, 3 native to modern LLM stacks. 🔗 kaptor.ai/blog/blind-pro…

Profundizamos en la investigación de la técnica Blind Prompt Injection. Taxonomía unificada de 6 variantes: Boolean, Time, OOB, Streaming, Cache, Token-Count. 3 con equivalencia en Blind SQLi, 3 nativas de LLMs. 🔗 kaptor.ai/blog/blind-pro…

AI security is the new battlefield of Cybersecurity. Kaptor Security is now on social. 20 years in offensive security, now focused on AI. Beyond OWASP LLM & MITRE ATLAS. AI innovation is only sustainable if it's secure. 🌐kaptor.ai

Finally out of "stealth mode"! 🚀 @kaptorsecurity is now on socials, specializing in offensive cybersecurity for AI ecosystems. 🛡️ After months securing AI architectures for clients, it’s time to join the conversation. Proud to be on this journey with @egarme Follow us! 🔥

🚨 #BlueSpy is now available on our GitHub. This proof-of-concept allows you to listen in on conversations from Bluetooth headsets without your users' knowledge. We have already alerted manufacturers whose devices have some vulnerabilities. github.com/TarlogicSecuri…

From time to time, I keep myself in a loop arguing with people who say that cookies are better than web storage for session tokens. I just realised that @albinowax wrote a well-explained article about this topic. Thanks god! portswigger.net/research/web-s…

@TuIberdrola Mi consulta pendiente es si hay alguna manera de registrar feedback de la atención concreta de ayer, facilitando los datos. Normalmente el trato es correcto, pero esta persona fue agresiva desde el minuto 0. No me crean a mí, revisen la grabación si es posible. ¡Gracias!

@joserabal Hola, José. Te pedimos disculpas por la atención inadecuada. Nuestro objetivo es dar siempre el mejor servicio posible a todos nuestros clientes. Si tienes alguna consulta pendiente de resolver, desde aquí estaremos encantados de ayudarte.

@albinowax @floyd_ch Yes, I explicitly scanned this header by setting the entry point with the intruder.

@joserabal @floyd_ch From a glance I wouldn't expect it to work on that app unless you explicitly tell it to scan the X-Api-Version header

@albinowax @floyd_ch Maybe this is also the reason why they don't detect the vulnerability on this vulnerable app when the HTTP response is not received: github.com/christophetd/l…

@floyd_ch Good idea. If you make a PR I'll merge it asap. Otherwise I'll take a look on Monday.

Nuestros compañeros de @BlackArrowSec os presentan en este artículo un ejercicio del equipo de #RedTeam que les permitió persistir y pasar desapercibidos en la red de una empresa. Lo hicieron además utilizando una herramienta tan común como Microsoft Teams blackarrow.net/es/aprovechand…

WAF solutions are today one of the most powerful defense shields for companies against #cyberattacks.Our colleague @joserabal analyzes their operation and effectiveness in our #cibersecurity blog. Enjoy reading! tarlogic.com/en/blog/evalua…

Las soluciones WAF son hoy uno de los más poderosos escudos de defensa para las empresas ante #ciberataques. Nuestro compañero @joserabal analiza su operativa y eficacia en nuestro blog de #ciberseguridad ¡Que lo disfrutéis mucho! tarlogic.com/blog/evaluacio…

@pedromruiz1 @umucafd @UMU @digitalUMU 💪💪💪 ahora más que nunca GO AVTeam!! Aquí observando desde la trinchera, el ‘former AV team’ manda fuerza!! Eh @ciudadano82 @joserabal @alex_gon_jim @freku @ramonchu2k @jjmerono @SedueRey

@CrisAlcazar No conozco personalmente a los de La Pirámide, pero me acaba de decir un amigo (blanco caucásico y de Águilas) que a él tampoco le sirvieron café porque le dijeron que la máquina estaba rota. No me extraña que supiera mal.

Estoy sentada tomando el aperitivo en una terraza de Águilas. Se han sentado 2 marroquíes, han pedido un café y les han dicho que no servían café. Es una cafetería. Se llama La Pirámide. Y el café está malísimo. Yo no m lo he tomado.

Running public exploits without reading the technical details.

CSS Injection Primitives x-c3ll.github.io/posts/CSS-Inje…