Samurai, Entorno de trabajo para el testing de seguridad a aplicativos Web
dic01

Samurai, Entorno de trabajo para el testing de seguridad a aplicativos Web

ACTUALIZADO: acaba de salir la versión 3.0 de esta excelente herramienta para realizar pentest hacia aplicaciones web, todas las herramientas han sido actualizadas y algunos errores corregidos. Descarga esta nueva versión haciendo click en este enlace… si no sabes que es Samurai Web Testing Framweork, te digo que… Samurai Web Testing Framework es un entorno de trabajo basado en GNU/Linux Ubuntu, que ha sido pre-configurado para llevar a cabo test de penetración a aplicativos Web. Este LiveCD, que además puede ser instalado como sistema operativo por defecto en el disco duro, contiene un repertorio bastante amplio en cuanto a herramientas de libre uso y distribución se refiere. Estas herramientas están destinadas a realizar pen-testing sobre aplicativos Webs. Al igual que la distribución BackTrack, Samurai Web Testing Framework divide las herramientas por grupos según una metodología. Comienza por la etapa de reconocimiento, para ello hace uso de las herramientas Fierce domain Scanner y Maltego. Para el mapeo del sistema objetivo incluye la herramienta WebScarab y Ratproxy. Para el descubrimiento de vulnerabilidades incluye w3af y burp, finalmente para el proceso de explotación utiliza BeEF, AJAXShell y otras más. Como si esto fuera poco, Samurai Framework incluye una wiki preconfigurada y lista para ser usada como bitácora de recolección de la información que vamos generando a medida que avanzamos en el proceso de pen-testing. Los desarrolladores hacen anuncio oficial de la disponibilidad de esta primera distribución como versión de desarrollo y hacen la invitación a los interesados a participar de este genial proyecto, ofrecen para ello un sitio Web y una lista de correo. Para finalizar dejo algunas capturas de pantalla de lo que he probado a manera “superficial” sin entrar aún mucho en el detalle de uso y comportamiento del sistema (hasta el momento va muy bien). Quiero además hacer la salvedad que estas mismas herramientas pueden ser instaladas y configuradas en diferentes S.O, por lo tanto una vez más queda comprobado que no importa el S.O que utilicemos, todos pueden servir para las diferentes tareas de nuestro día a día, incluso para estos menesteres de la seguridad 😉 Cargando y reconociendo componentes y hardware Inicio de sesión (contraseña para root) Escritorio (Gnome) Menú Samurai (Herramientas) Herramienta WebScarab Terminal Más Información: Web oficial del Proyecto Samurai Web Testing Framework Descargar Samurai Web Testing Framework Foro de discusión sobre seguridad en aplicativos web (Comunidad DragonJAR) Articulo escrito por David Moreno (4v4t4r) para La Comunidad DragonJAR David Moreno es Information Security Researcher con 10 años de experiencia en temáticas relacionadas con la Seguridad de la Información, Informática Forense, Ethical Hacking, Criptoanálisis y Análisis de Malware. Conferencista permanente en eventos nacionales e internacionales de...

Leer Más

OWASP Application Security Verification Standard 2013

Quien se mueve por el mundo de la seguridad web, conoce sobradamente Owasp. Organización que se dedica a divulgar y realizar estándar alrededor de la seguridad. Son famosos por su TOP TEN. En el que mediante un estudio que sacan el TOP 10 de las vulnerabilidades. Aquí tenemos una imagen de la evolución del top ten de Owasp al cabo de los años. Pues el artículo de hoy trata sobre el OWASP Application Security Verification Standard 2013 en el que han hecho ahora realease de la BETA. ¿De que trata el proyecto? Básicamente ayudar a la organización de desarrollar y mantener aplicaciones seguras, y para permitir el servicio de seguridad / herramientas de los proveedores y los consumidores. Caso de ejemplo1: Para entender como sería un caso de uso, he extraído uno de la documentación. Use Case 1: Certification of Applications ACME Bank has developed a new Internet Banking portal, which is due to be deployed into their UAT environment. The application has followed the bank’s SDLC process and should be in a secure state. The Internal security team at ACME Bank has been tasked to ensure that once deployed into the UAT environment, it does not pose a risk to other applications, due to it being hosted on a shared platform and database. After an internal threat modeling exercise was performed, it was agreed that the application had a high-risk associated with it and the data stored within it. The team makes use of a well-known web application scanning tool and start the process of mapping out the application in preparation for the automated scanning phase. Once complete, the automated scanning tool is started and left to complete. Once the report has been generated, the security analyst tests for false positives (such as SQL injection, or XSS) and amends the report as necessary. Any findings discovered are reported back to the system owners and development team, in order to be rectified. Once this has been completed, the re-test of the application is resumed to ensure they have been resolved in a suitable manner. In this example, using the ASVS could allow the internal team to test for common application flaws as well as verify that it had been developed in accordance to the banks security standard.  El Owasp ASVS define el estándar en 4 capas: Por ejemplo, el nivel 0 es: An application achieves Level 1 (or Opportunistic) certification if it adequately defends against application security vulnerabilities that are easy to discover.   Para descargar u obtener información sobre el proyecto:...

Leer Más

Cursos de Seguridad Informatica y Hacking en Colombia

Ofrecemos servicios de capacitación integral dirigida a entusiastas, estudiantes y profesionales de manera que puedan adquirir y/o fortalecer sus competencias en las diferentes temáticas y herramientas cruciales para desempeñarse adecuadamente en el mundo de la seguridad informática. Contamos con entornos propios que te harán experimentar situaciones reales para enfrentarte al mundo laboral de la seguridad informática.   Si te interesa este tipo capacitaciones altamente practicas y online no dejes de revisar nuestra iniciativa De 0 a Ninja, donde encontraras un buen listado de capacitaciones a muy buenos...

Leer Más

Las mejores extensiones de Firefox para mejorar tu seguridad

Continuando con la colección de extensiones Firefox imprescindibles para mejorar nuestra navegación, veremos hoy algunas de las mejores enfocadas a la seguridad en la red. Ayer veíamos addons sobre Privacidad, pero como resalté anteriormente la privacidad es sólo uno de los tantos aspectos de los que debemos preocuparnos al utilizar Internet. Lastimósamente, la red está plagada de Malware y no sólo tener un buen antivirus y un firewall te mantendrá protegido (aunque si ayudan) ya que en la mayoría de los casos la desinformación del usuario (capa 8 :P) es la responsable de la no filtración del contenido al que accede. Quizás la herramienta más usada a diario es nuestro navegador Web por este motivo es muy importante tener un balance entre usabilidad/seguridad para posiblemente ahorrarnos más de un dolor de cabeza. AI Roboform Toolbar for Firefox: Funciona como barra de herramientas con RoboForm para administrar y proteger tus contraseñas. Dr.Web anti-virus link checker: Verifica que los archivos no tenga virus antes de descargarlos, lo mismo para los sitios web. FirePhish Anti-Phishing Extension / iTrustPage / Personal Anti-Phishing Sidebar / PhishTank SiteChecker: Extensiones que te permiten estar alerta sobre el ingreso a un sitio web con contenido falsificado (Phising) haciendo uso de bases de datos que contienen URLs identificadas de este tipo. FormFox: Al poner el cursos sobre un formulario, te muestra haciendo donde vá la información que estás escribiendo. KeyScrambler Personal: Encripta lo que escribes para protegerte de keyloggers. Link Alert: Cambia el color de tu cursor para indicar visualmente lo que hace el link que estás apuntando. Magic Password Generator: Haciendo uso de una contraseña maestra genera contraseñas únicas para cada sitio. También auto-rellena direcciones de correo electrónico y nombre. NoScript: 100% RECOMENDADA. Bloquea cualquier código malicioso de páginas que no estén en la lista blanca de sitios en los cuales usted confía. Más información sobre NoScript aquí. Password Exporter: Permite importar y exportar tus contraseñas entre diferentes copias de Firefox. Password Hasher: Genera automáticamente contraseñas fuertes, permite actualizarlas y cambiarlas mucho más rápido. PasswordMaker: Ayuda a encriptar y almacenar las contraseñas. PopupMaster: – Agrega un bloqueador de popups a la barra de estado. QArchive.org web files checker: – Instálalo y con un simple clic derecho puedes realizar un escaneo de malware, virus, troyanos, etc. antes de descargar. QuickJava: – Dá la posibilidad de activar/desactivar Java por medio de un botón. Secure Login: – Almacena información de login y llena los formularios con un clic. SecurePassword Generator: – Generador de contraseñas fuertes. SignupShield Passwords: – Administrador de contraseñas (1-Click), rellena formularios, tiene control anti-spam y anti-phising. SplitLink: – Elimina símbolos especiales en las URLs para que puedas...

Leer Más

Presentación de conceptos básicos en Seguridad Web

Marcos García, miembro de nuestra comunidad ha querido compartir con nosotros la siguiente presentación, que referencia a los ataques más comunes sobre las aplicaciones Web. La idea principal es concientizar a los desarrolladores/administradores, para que tengan en cuenta a qué amenazas y riesgos de seguridad están expuestas sus aplicaciones. Es importante señalar que existen más ataques, los cuales no figuran en la presentación. Descargar documentación También podremos ver ejemplos prácticos de todas las técnicas mencionadas en los siguientes vídeos. XSS CSRF Path Traversal Null Byte OS Commanding Local File Inclusion Remote File Inclusion Information Disclosure SQL Injection/Blind SQL Injection File Upload Agradecimientos especiales a Marcos García por compartir esta información con...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

Aprende ONLINE Técnicas HACKING y Seguridad Informática

Toma acción !AHORA¡
miles ya lo han hecho

NUNCA te enviaremos correo basura.

Aprende de la mano de Profesionales RECONOCIDOS con más de 10 años de experiencia REAL en el campo del HACKING, con ventajas como las siguientes:

  • No necesitas conocimiento previo (De 0 a Ninja)
  • Docentes reconocidos en el medio y con experiencia REAL
  • Clases ONLINE en VIVO que luego podrás repasar si lo deseas desde cualquier parte o cualquier dispositivo
  • Contenidos EXCLUSIVOS generados por nuestros docentes
  • Contacto constante con el docente por distintos medios, antes, durante y después de las clases
  • Laboratorios en linea para que nuestros alumnos practiquen sus conocimientos sin problemas
  • Te entregamos un diploma de certificación por cada curso