Professional Documents
Culture Documents
DirBuster
DirBuster
diseada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalacin por defecto, no lo es, y tiene pginas y aplicaciones ocultas. DirBuster trata de encontrar estos archivos y directorios.
DirBuster
y Caractersticas:
- Funciona con http y https - Busca directorios y archivos - Bsqueda recursiva sobre los directorios que encuentra - Escaneo basado en listas o fuerza bruta - DirBuster puede ser iniciado en cualquier directorio - Pueden ser agregadas cabeceras HTTP personalizadas - Soporte para proxy - Cambio automtico entre peticiones HEAD y GET - Modo analizador de contenidos cuando los intentos fallidos regresan como 200 - Puedes ser usadas extensiones de archivos personalizadas - El desempeo puede ser ajustado mientras el programa est en ejecucin
DirBuster
DirBuster
y Ejemplo Resultados:
NetCat
NetCat
y Es una herramienta utilizada para supervisar y escribir sobre conexiones tanto
por TCP como por UDP. Puede abrir conexiones TCP, enviar paquetes UDP, escuchar sobre puertos arbitrarios tanto TCP como UDP, supervisin de puertos y ms, tanto para IPv4 como IPv6. Es una de las herramientas de diagnstico y seguridad ms populares y tambin una de las mejor calificadas por la comunidad.
Revisin de Puertos:
y Para revisar los puertos abiertos, se utiliza nc con la opcin , -z para
NetCat
y
Opcionalmente se pueden revisar si estn abiertos los puertos abiertos por UDP aadiendo la opcin u.
Si se quiere obtener una salida ms descriptiva, solo es necesario especificar nc -vz y la direccin IP si se quiere revisar puertos TCP abiertos, o bien nc -vzu para puertos UDP abiertos, donde -v define se devuelva una salida ms descriptiva
NetCat
Verificar Servidor:
Con NetCat tambin podemos revisar en qu tipo de servidor est montada una pgina web. Para esto se ejecuta el comando nc (NetCast) + 10.0.0.0 (IP Pagina Web) + 80 (Puerto) ---ENTER-- head / http/1.0 HEAD / HTTP/1.0.
CSRFTester
CSRFTester
y Cross-Site Request Forgery (CSRF) es un ataque donde la
victima es engaada para cargar informacin desde o enviar informacin a la aplicacin Web para la que se encuentra autenticado actualmente.
verificar la integridad de la solicitud. El proyecto OWASP CSRFTester intenta dar a los desarrolladores la habilidad de probar sus aplicaciones para encontrar fallas de CSRF
CSRFTester
y Capturar Mtodos POST-GET de Pginas Web.
Se debe determinar el puerto que se esta utilizando para escuchar las peticiones a travs del comando. netstat tnlp.
CSRFTester
y
Abrir la Pagina Web a la que se le desea realizar el Test, (generalmente formularios). Y configurar el Proxy de la misma a que funcione de forma manual con la configuracion obtenida con el comando anterior.
CSRFTester
y
Abrir CSRFTester y comenzar la grabacin. Luego someter los datos llenados en el formulario en la pagina anterior. Al finalizar detener la grabacion y Generar el cdigo de lo sometido.
CSRFTester
y Ejemplo de Resultados
MSSqlScan
MSSqlScan
un scan a Microsoft SQL server. Este se caracteriza por el uso de UDP y retorna una lista de todas las instancias detectadas con sus respectivos puertos y protocolos.
MSSqlScan
MSSQLScan v0.8.4 MSSQLScan -t <target_ip> [options] Options: -t <target> target ip address(es) -l <targetfile> file with target ip adresses -s <src> source ip address -T <threads> maximum threads (default 50) -v verbose logging -w <timeout> timeout for replies (default 500 ms) -o <file> output to file example: MSSQLScan -t 192.168.1-2.* -o results.txt
Xsss
Xsss
El Cross Site Scripting es una de las vulnerabilidades mas comunes actualmente. Esta debilidad consiste en permitir que cualquiera pueda inyectar cdigos, scripts, en una pgina. Esta herramienta permite verificar debilidades Xsss en alguno de los mdulos de un website
WBox
WBox
Permite:
y Verificar el tiempo de generacin de contenido de
una pgina. y Pruebas de stress y Probar dominios virtuales dentro de uno existente y Verifica si las redirecciones funcionan correctamente
WBox
y Uso Bsico
WebShag
WebShag
Usos:
y Ver archivos ocultos (sin enlaces) en un servidor web. y Permite realizar pruebas de tipo FUZZ TESTING en base a y y y y y y
secuencias de generacion de archivos. (Fuzz Testing consiste en realizar pruebas utilizando data invalida,Inesperada o random). Pruebas de vulnerabilidad en una aplicacin web. Web-spider para navegar un website completo y extrayendo todos los directorios, enlaces a otros websites y direcciones de email. Ver nombres de dominio de otros websites en el mismo servidor
Nikto2
Nikto2
Es una herramienta Open Source que realiza pruebas en aplicaciones web. En bsqueda de archivos/scripts dainos, desactualizados (contra servidores que contienen esta informacin) Ubica y despliega archivos de configuracin en el servidor. Es capaz de actualizar archivos y componentes para actualizarlos de manera automtica. Ejemplo de Uso: