¿Cómo se realiza un Pentest?
Mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más
Web Application Protection
Nov07

Web Application Protection

En el proceso de desarrollo de un aplicativo web, es necesario contar con ciertos procedimientos antes de subir esa web  a producción. Uno de esos pasos es una revisión de seguridad para testear que en la fase de desarrollo no se haya cometido ningún fallo. Es por eso que nacen proyectos como Web Application Protection, que se encargará de testear la seguridad de los aplicativos web en PHP. WAP, es capaz de detectar el siguiente conjunto de vulnerabilidades: SQL injection using MySQL, PostgreSQL and DB2 DBMS Reflected cross-site scripting (XSS) Stored XSS Remote file inclusion Local file inclusion Directory traversal Source code disclosure OS command injection PHP code injection Además de la particularidad de poder detectar el conjunto de fallos, aplicará una corrección del código fuente. Lo primero que haremos será descargar la herramienta: Una vez que hemos descargado la herramienta lo que tendremos que hacer es escoger aquel proyecto que queramos analizar. Para la prueba escogeremos el proyecto de DVWA, bajamos el proyecto y lanzamos el análisis: Lo que hará la herramienta es analizar el proyecto en PHP y buscar por una vulnerabilidad en concreto, yo le he indicado que busque vulnerabilidades del tipo SQL Injection. Una vez que la herramienta a analizado el código podremos ver los resultados: Podemos ver que la herramienta a analizado el proyecto que le hemos pasado y, además ha podido sacar la SQL Injection y ha podido subsanarla. Como os decía, la herramienta es capaz de aplicar la corrección para evitar la inyección detectada. Aquí tenemos el código que subsanaría el fallo de la aplicación. Otra de las cosas que es capaz de detectar la aplicación son falsos positivos: Sin duda, además de pasar los tests oportunos como pasar un QA, tienen que haber tests específicos para pasar los checks de seguridad. En este caso, WAP, no cubre todos los aspectos, pero por lo menos es una capa de seguridad que podemos automatizar antes de subir la aplicación a producción....

Leer Más
Parsero, auditando el robots.txt de los sitios web
Ene04

Parsero, auditando el robots.txt de los sitios web

Esta herramienta me hace bastante gracia, ya que cuando hablo con Jaime (Dragon) por Skype el siempre me dice parcero, y cuando vi esta herramienta pensé: “Una herramienta para los colombianos”. Fuera bromas, esta herramienta la he visto incluida en otras herramientas de escaneos webs, que primero hacen el crawler y luego escanean el sitio en busca de vulnerabilidades. ¿Para que sirve el fichero robots? Básicamente para que las arañas de los navegadores no indexen el contenido que el webmaster ha declarado que no quiere que indexen. Para un auditor esto es contraproducente ya que está revelando públicamente que directorios no quieren que se indexen por algún motivo. Estos motivos pueden ser que haya directorios sensibles, que es lo primero que buscará un auditor para buscar vulnerabilidades en el sitio web. Otro motivo puede ser que haya habido un escándalo público y ya no quieres que se relacione tu sitio web con algún personaje público. Los directorios indicados en el robots pueden estar accesibles o no y esta herramienta es la que nos ayudará a discernir esto. Instalando Parsero. Parsero tiene algunas dependencias, yo lo he ejecutado bajo Kali Linux. sudo apt-get install python-pip sudo apt-get install python3 sudo apt-get install python3-pip sudo pip-3.2 install urllib3 Vamos a ejecutar Parsero en un sitio web, por ejemplo Google </pre> [email protected]:~/tools/Parsero# python3 parsero.py -u www.google.es ____ | _ \ __ _ _ __ ___ ___ _ __ ___ | |_) / _` | '__/ __|/ _ \ '__/ _ \ | __/ (_| | | \__ \ __/ | | (_) | |_| \__,_|_| |___/\___|_| \___/ Starting Parsero v0.45 (https://github.com/behindthefirewalls/Parsero) at 01/04/14 05:42:06 Parsero scan report for www.google.es www.google.es/search 302 Found www.google.es/sdch 404 Not Found www.google.es/groups 404 Not Found www.google.es/images 302 Found www.google.es/catalogs 200 OK www.google.es/catalogues 404 Not Found www.google.es/news 404 Not Found www.google.es/nwshp 404 Not Found www.google.es/setnewsprefs? 404 Not Found www.google.es/index.html? 200 OK www.google.es/? 200 OK www.google.es/?hl=*& 200 OK www.google.es/addurl/image? 301 Moved Permanently www.google.es/pagead/ 404 Not Found www.google.es/relpage/ 404 Not Found www.google.es/relcontent 404 Not Found www.google.es/imgres 301 Moved Permanently www.google.es/imglanding 301 Moved Permanently www.google.es/sbd 403 Forbidden www.google.es/keyword/ 404 Not Found www.google.es/u/ 404 Not Found www.google.es/univ/ 301 Moved Permanently www.google.es/cobrand 404 Not Found www.google.es/custom 200 OK www.google.es/advanced_group_search 404 Not Found www.google.es/googlesite 404 Not Found www.google.es/preferences 200 OK www.google.es/setprefs 302 Found www.google.es/swr 404 Not Found www.google.es/url 404 Not Found www.google.es/default 302 Found www.google.es/m? 200 OK www.google.es/m/ 404 Not Found www.google.es/wml? 200 OK www.google.es/wml/? 404 Not Found www.google.es/wml/search? 200 OK www.google.es/xhtml? 200 OK www.google.es/xhtml/? 404 Not Found www.google.es/xhtml/search? 200 OK www.google.es/xml? 403 Forbidden www.google.es/imode? 200 OK www.google.es/imode/? 404 Not Found www.google.es/imode/search? 404 Not Found www.google.es/jsky? 200 OK www.google.es/jsky/? 404 Not Found www.google.es/jsky/search? 404...

Leer Más
Cansina, Web Content Discovery Application
Nov24

Cansina, Web Content Discovery Application

En una fase de test de penetración, hay una parte que es muy interesante y es la de tratar de descubrir directorios ocultos en los que poder encontrar información interesante y sensible sobre lo que estamos auditando. Herramientas que hacen esto mismo, las hay a montones, de echo yo sigo usando una que es mi preferida Dirb, que hace años que no se actualiza pero cumple su propósito perfectamente. Ahora os traigo una herramienta que está en fase de desarrollo, pero que me ha parecido interesante alguna de las características que incorpora en su fase “beta”. La herramienta se llama Cansina, para usarla tenemos que tener instalado el módulo requests. Para instalarlo podemos hacer servir python-pip. Una vez que tenemos el módulo instalado, bajamos la herramienta del repositorio del GitHub con un git clone https://github.com/deibit/cansina ¿Que tiene de interesante esta herramienta, respecto a las demás? Como comentan en el artículo de HispaSec cuando lanzamos una herramienta de este tipo si encontramos lo que buscamos obtenemos un código de error 200, si no está lo que estamos buscando un código 404. Si por lo que sea hay un redirect pues los famosos códigos 30x. Cuando lanzamos el fuzzer normalmente intentamos descubrir el directorio web, es decir folder1/folder2 etc.. Nosotros si estamos haciendo el pentest, podemos tener claro que hay determinados archivos con determinadas extensiones. Existen ciertas directivas de protección de apache/ISS, que cuando pidamos estos archivos con extensiones nos dará un código diferente. Ejecutamos la herramienta: darkmac:cansina marc$ sudo python cansina.py -h Password: usage: cansina.py [-h] -u TARGET -p PAYLOAD [-e EXTENSION] [-t THREADS] [-b BANNED] [-a USER_AGENT] [-P PROXIES] [-c CONTENT] [-d DISCRIMINATOR] [-D] [-U] [-T REQUEST_DELAY] [-A AUTHENTICATION] [-H] &nbsp; optional arguments: -h, --help         show this help message and exit -u TARGET          target url (ex: http://www.hispasec.com/) -p PAYLOAD         path to the payload file to use -e EXTENSION       extension list to use ex: php,asp,...(default none) -t THREADS         number of threads (default 4) -b BANNED          banned response codes in format: 404,301,...(default none) -a USER_AGENT      the preferred user-agent (default provided) -P PROXIES         set a http and/or https proxy (ex: http://127.0.0.1:8080,https://... -c CONTENT         inspect content looking for a particular string -d DISCRIMINATOR   if this string if found it will be treated as a 404 -D                 check for fake 404 (warning: machine decision) -U                 MAKE ALL RESOURCE REQUESTS UPPERCASE -T REQUEST_DELAY   Time (in...

Leer Más
HoneyProxy
Nov16

HoneyProxy

El uso de proxys tiene varios usos. Podemos usar un proxy para analizar las peticiones de un sitio web, con un proxy podemos ver fácilmente las peticiones GET, lo que enviamos por POST, además podríamos incluso modificar ciertos parámetros “on the fly” que es lo que me parece de lo mas interesante. Para configurar el proxy sólo deberíamos de configurar en el navegador de que se conecte mediante un proxy. El proxy lo podemos tener tanto en local como en remoto y sólo deberemos de configurarlo para analizar aquellos escenarios en los que necesitemos analizar conexiones. Para las conexiones SSL, donde el tráfico va cifrado también hay solución y es instalar nuestra propia CA y certificado en el navegador. El proyecto de hoy es HoneyProxy, este proyecto nos ayudará a analizar tanto tráfico web en una auditoría web como en el análisis de malware, por ejemplo. Para instalarlo hacemos: #pip install pyOpenSSL pyasn1 Twisted Autobahn Si no disponemos del comando PIP, deberemos de instalar python-pip Después de instalar las dependencias descargamos el proyecto de GitHub git clone –recursive git://github.com/mhils/HoneyProxy.git Una vez que se descarga, iniciamos HoneyProxy: [email protected]:~/tools/malware/HoneyProxy$ python honeyproxy.py –no-gui -a 192.168.1.134 HoneyProxy has been started! Configuration Details (normal users: ignore): GUI: http://honey:[email protected]:8081/app/ Proxy Address: 192.168.1.134:8080 WebSocket Port: 8082 Auth user: honey Auth key: hixcqzok8pl7oaoomuzpmada27ysa57p Ya tenemos el proxy preparado, ahora configuramos el navegador: Ya tenemos el proxy configurado, ahora todas las peticiones las podremos gestionar desde el proxy. Empezamos a navegar y podremos ver los resultados en el Dashboard de HoneyProxy Podremos ver todas las webs por las que ha navegado el usuario, podremos ver el detalle de las peticiones En este caso como yo puse gmail.com, podemos ver que Gmail redirige hacia otro dominio. Si queremos ver el detalle podemos ir a la segunda pestaña, aquí podremos comprobar la web en Virus Total, o podremos descargar el contenido para analizarlo mas en detalle. También podremos ver el código en RAW. Como veis HoneyProxy nos puede servir para varios escenarios y para analizar malware, por...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"