SpiderFoot, obteniendo información de un dominio web

Hemos comentado varias veces la necesidad de obtener información antes de intentar lanzar un ataque u otro a un determinado sitio web. En una auditoría es necesaria esta fase para poder saber a que tipo de sistema nos enfrentamos.

Es por eso que existen aplicaciones como la que os voy a enseñar hoy. Esta aplicación se llama SpiderFoot.

La aplicación es Open Source y la podemos encontrar aquí => http://sourceforge.net/projects/spiderfoot/

La herramienta para el post de hoy la he usado bajo un sistema Windows. Para lanzar la herramienta arrancamos el sf.exe. Este nos abrirá un servidor web en http://0.0.0.0:5001

Accedemos a esa dirección para trabajar con la herramienta.

1

Como no hay ningún escaseo activo esta pestaña la tenemos desactivada.

Vamos a la parte de los Settings para ver que parámetros podemos configurar de la herramienta

2

La herramienta que se encarga de hacer Footprinting, tiene varios módulos que se corresponden con servicios que va a revisar. Estos módulos son DNS, HTTP entre otros.

3

Seleccionamos las opciones pertinentes dependiendo del tipo de escaneo que queramos configurar y nos vamos a lanzar un nuevo escaneo.

4

Ponemos el nombre de lo que sería la tarea del análisis y el dominio web que queramos escanear.

5

Cuando hemos lanzado el análisis SpiderFoot nos indica que el análisis ya ha empezado. Si queremos ver como está yendo el resultado podemos ir a la pestaña de Scans.

6

En esta pestaña, veríamos todos los escaneos que se están realizando.

Como solo tenemos uno, le echamos un vistazo a ver como va.

7

Aquí vemos por separado dependiendo del módulo como está extrayendo resultados.

Si queremos ver alguno mas en detalle.

8

De las IP’s que ha encontrado en el navegador ha ido probando de geolocalizarlas.

SpiderFoot puede ser una herramienta que nos ayude en nuestros procesos de FootPrinting en páginas webs.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES