jueves, octubre 23, 2014

Premios Bitacoras.com, Categoría: Mejor blog de Seguridad Informática.

RTVE celebra todos los años los premios Bitacoras.com, que van ya por su 10º edición. Estés premios a la comunidad blogger tienen distintas categorías: Twitter, Blog de Salud, Blog de Tecnología e innovación, Blog de Educación, Blog Gastronómico, Blog de Motor, Blog de Cine y TV, Blog de Humor y Entretenimiento, Blog de Fotografía, Blog de Belleza y Moda, Videoblog, Blog Personal, Blog de Marketing y Social Media, Blog de Viajes, Blog de Periodismo y Política, Podcast, Blog de Ciencia, Blog de Acción Social y la acorde con mi temática Blog de Seguridad Informática.

Desde la creación de la categoría de Seguridad Informática este blog siempre ha estado presente entre los 50 primeros, una satisfacción para mi, ademas de una motivación para encontrar tiempo para seguir escribiendo. Quiero agradecer a los que siguen y votan este blog, también transmitir que mientras pueda, seguiré dando guerra, aunque no aparezca en ningún premio.

Este año en la calsificación III de la categoria “Mejor blog de SeguridadInformática” estamos en el puesto 17, el plazo para votar termina el 1 de noviembre. El proceso consiste en nominar hasta 5 blogs por categoría, previo login con Facebook o Twitter.

Si os apetece votar aquí os dejo el link:
http://bitacoras.com/premios14/votar/b8013f9b861b10d91715a7255ed7bc643b887f49

miércoles, octubre 22, 2014

Obtener por fuerza bruta los nombres de directorios y archivos en servidores de aplicaciones Web.

DirBuster es una aplicación Java diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores de aplicaciones Web. El principio básico de funcionamiento de DirBuster es el uso de casos de fallo. Esto significa que esta herramienta intentará determinar cuál es un caso de fallo real antes de la prueba utilizando una lista de directorios y archivos. Entonces determinará que un archivo o directorio oculto esta presente si la prueba ejecutada, devuelve un resultado diferente al de un caso de fallo.


Es muy corriente encontrar lo que parece un servidor Web con una estructura típica del resultado de una instalación por omisión, no lo es, y tiene paginas y aplicaciones ocultas. Descubrir estas paginas y aplicaciones ocultas que normalmente pertenecen a la administración de la aplicación web es el objetivo principal de DirBuster.

La efectividad de esta herramienta que utilizan la técnica de fuerza bruta depende de lo buena que sea la lista de archivos y directorios que incluye. La lista de DirBuster fue generada desde cero, rastreando en Internet y colectando los directorios y archivos que son realmente usados por los desarrolladores. Esto hace a DirBuster extremadamente efectivo encontrando esos archivos y directorios ocultos. Y si eso no fuera suficiente, DirBuster también tiene la opción de realizar fuerza bruta pura, opción que obviamente ralentiza mucho el proceso de búsqueda. El orden de las listas esta basado en la frecuencia del elemento encontrado. Por lo tanto, los elementos mas comunes aparecen al principio de la lista.

Estas listas son las de trabajo de DirBuster:

  • directory-list-2.3-small.txt - (87650 palabras) – Directorios y archivos que fueron encontrados en al menos 3 sitios diferentes.
     
  • directory-list-2.3-medium.txt - (220546 palabras) – Directorios y archivos que fueron encontrados en al menos 2 sitios diferentes.
     
  • directory-list-2.3-big.txt - (1273819 palabras) – Todos los directorios y archivos que fueron encontrados.
     
  • directory-list-lowercase-2.3-small.txt - (81629 palabras) – Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-small.txt.
     
  • directory-list-lowercase-2.3-medium.txt - (207629 palabras) - Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-medium.txt.
     
  • directory-list-lowercase-2.3-big.txt - (1185240 palabras) Versión sin distinguir mayúsculas y minúsculas de directory-list-2.3-big.txt.
     
  • directory-list-1.0.txt - (141694 palabras) – Lista original sin ordenar.
     
  • apache-user-enum-1.0.txt - (8916 nombres de usuario) – Usada para descubrir usuarios de sistema en apache con el modulo userdir habilitado, basado en una lista de usuarios (sin ordenar).
     
  • apache-user-enum-2.0.txt - (10341 nombres de usuario) - Usada para descubrir usuarios de sistema en apache con el modulo userdir habilitado, basado en ~XXXXX encontrados durante la generación de la lista (ordenado).

Entre las características destaca:

  • Capacidad de escaneado de 6000 peticiones/segundo.
  • Funciona con http y https.
  • Buscara recursivamente en los directorios que encuentre.
  • Capaz de hacer escaneo basado en listas o por fuerza bruta pura.
  • DirBuster puede ser iniciado en cualquier directorio.
  • Cabeceras HTTP personalizadas pueden ser agregadas.
  • Soporte para proxy.
  • Cambio automático entre peticiones HEAD y GET.
  • Modo analizador de contenidos cuando los intentos fallidos lleguen a 200.
  • Permite extensiones de archivos personalizadas.
  • La configuración de la búsqueda puede ser ajustado mientras el programa esta en ejecución.

Más información y descarga de DirBuster:
http://sourceforge.net/projects/dirbuster/

jueves, octubre 16, 2014

Herramienta para test de penetración para dispositivos Android.

Android es un sistema operativo que se suele usar en equipos de reducidas dimensiones, implementándole herramientas de test de penetración aporta un gran abanico de posibilidades, sobre todo para los pentester profesionales. La gran ventaja de utilizar estas aplicaciones en dispositivos de reducidas dimensiones, sin duda, la movilidad.


La herramienta zANTI un conjunto de utilidades de pruebas de penetración para dispositivos Android que permite a los administradores de seguridad a evaluar el nivel de riesgo de una red con sólo pulsar un botón, e incluso simular un atacante para identificar las técnicas que pueden utilizar para poner en peligro la red corporativa.

Realiza test de penetración a nivel de: autenticación, backdoor, ataques de fuerza bruta, Mitm, Metasploit, DNS y ataques específicos de protocolos de red y dispositivos. Utilizando una amplia gama de test de reconocimiento de red personalizables.

El uso de zANTI es muy intuitivo, en cada ejecución, zANTI realizara en la red asignada la búsqueda de dispositivos activos y sus vulnerabilidades mostrando la información en consecuencia: “verde” para designar un dispositivo activo, “amarillo” muestra los puertos disponibles y “rojo” para dispositivos que en los que se detectaron vulnerabilidad. Además, cada dispositivo tendrá un icono que representa el tipo de dispositivo. Cuando termine el escaneo, zANTI elaborará un informe especificando automático sobre las vulnerabilidades y malas prácticas utilizadas, y cómo solucionar cada uno de ellos cada una de ellas.

Más información y descarga de zANTI:
https://www.zimperium.com/zanti-mobile-penetration-testing


Recopilar automáticamente información de una red con Raspberry Pi:
http://vtroger.blogspot.com.es/2014/10/recopilar-automaticamente-informacion.html