Beruflich Dokumente
Kultur Dokumente
(FASE 1)
Objetivos:
Es necesario conocer nuestro objetivo al mximo
Posiblemente no solo est corriendo un servicio web en el servidor
Posiblemente no todos los servicios se encuentren actualizados
Herramientas automticas:
HTTPRECON
NMAP
NESSUS
OPEN-VAS
GFI-LANGUARD
http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20esp%20v1.pdf
Secunia
Mitre CVE
Metasploit
SecurityFocus
Exploit-db
Full Disclosure
MSRC
US-CERT
INTECO
Objetivos:
Identificacin de sistemas de gestin de contenidos
Identificacin de servicios que interactan directamente con capa 7
Identificacin de CMS:
Blind-elephant
Wapplyzer (firefox)
Wafp
Whatweb
Nmap (Scripts)
Identificacin de WAF:
Waffit
Nmap (Scripts)
Objetivo:
Un usuario final no siempre est visualizando todos los mdulos, funciones o caractersticas que puede
implementar un portal web.
Descubrimiento de informacin para posibles vectores de ataque
Descubrimiento de directorios confidenciales
Zonas de administracin
Zonas internas
Directorios abiertos
robots.txt
sitemap.xml
Logins
1.3 - FOCA
Fuzzing y Crawling
Fuzzing: Realizacin de fuerza bruta o diccionarios para el descubrimiento de directorios
y/o ficheros
Fuzzing a versiones antiguas ([fichero]1, ([fichero]2,.. .bak, .old, .1, .2, etctera)
Wfuzz
Wikto
WebScarab
Burpsuite PRO
SKIPFISH
etctera
YougetSignal (http://www.yougetsignal.com)
GoogleHacking
BingHacking
Context Application Tool - CAT
Herramienta FOCA
Google Hacking
Bing Hacking
FileType
Site
InUrl
InTitle
Ext
FileType
IP
Feed
Contains
Linkfromdomain
Google Hacking
Mtodos HTTP
Mediante servicios de WebDav mal configurados, podemos llegar a conseguir subida, bajada y
borrado de ficheros en un servidos.
Manualmente mediante peticiones mtodos HTTP
Herramientas automatizadas: Clientes WebDav
Directorios abiertos
intext: "Index of"
FUNCIN
NMAP
NESSUS
HTTPRECON
METASPLOIT
FOCA
Realizacin de mapas
CAT
Realizacin de mapas
WFUZZ
Realizacin de mapas
SKIPFISH
Realizacin de mapas
RETO
1.1 - Identificacin de servidores y anlisis de puertos
1.2 - Identificacin de servicios
1.3 - Realizacin de mapas