Blogs

Introducción al Reconocimiento y Escaneo de una Aplicación Web

  • Posted on: 5 September 2018
  • By: ReYDeS

Las fases de reconocimiento y escaneo para la aplicación web, proporcionan información detallada sobre los recursos (páginas, archivos, directorios, enlaces, imágenes, etc.), los cuales constituyen la aplicación web. Existen partes muy importantes de información las cuales pueden ser utilizadas durante la posterior explotación de la aplicación web.

Explotación en el Ámbito Web

  • Posted on: 3 September 2018
  • By: ReYDeS

La explotación es el momento donde toda la información recopilada, los escaneo de puertos, y los escaneos de vulnerabilidades incrementan su valor, pudiendo ser factible ganar acceso no autorizado o ejecutar comandos remotos en la máquina objetivo. Uno de los objetivos de la explotación en red, es ganar derechos con nivel administrativo sobre la máquina objetivo (el servidor web en este ámbito), y ejecutar consecuentemente código.

Escanear un Servidor Web utilizando Nikto

  • Posted on: 30 August 2018
  • By: ReYDeS

Nikto es una escaner de vulnerabilidades Open Source o de fuente abierta, el cual está escrito en el lenguaje Perl, siendo originalmente publicado en el año 2011. Nikto proporciona la capacidad de escanear servidores web en busca de vulnerabilidades. Realiza más de 6,400 verificaciones por archivos o scripts potencialmente peligrosos, realiza 1,200 pruebas para versiones desactualizadas de servidores, y verifica cerca de 300 problemas específicos a versiones de servidores web.

Ejecutar NSEs de Nmap contra un Servidor Web

  • Posted on: 28 August 2018
  • By: ReYDeS

Una de las maneras en la cual la herramienta Nmap ha expandido su funcionalidad, es la inclusión de scripts para realizar escaneos especializados. Simplemente se debe invocar al script y proporcionar los argumentos necesarios para utilizarlo. Nmap Scripting Engine (NSE) maneja esta funcionalidad, y afortunadamente tiene muchos scripts específicos para el ámbito web listos para ser utilizados. Al momento de realizar la presente publicación, existen casi 600 scripts, 591 para ser exactos. De todos estos scripts, 132 están relacionados al servicio “http”.

Escaneo de Puertos a un Servidor Web

  • Posted on: 27 August 2018
  • By: ReYDeS

Es escaneo de puertos es simplemente el proceso de identificar cuales puertos están abiertos sobre la computadora objetivo. Además, encontrar cuales servicios están ejecutándose en estos puertos. Los puertos en una computadora son como cualquier abertura la cual permite entrar dentro de una casa, puede ser la puerta principal, la puerta secundaria, o la puerta del estacionamiento. Continuando con la analogía de la casa, los servicios son el tráfico utilizado por un punto de entrada dentro de una casa.

La Controversia con las Herramientas de “Hacking”

  • Posted on: 27 July 2018
  • By: ReYDeS

En muchas instancias, el conjunto de herramientas utilizadas por los atacantes maliciosos es el mismo al conjunto de herramientas utilizadas por los profesionales en seguridad. Muchas personas no entienden esto. De hecho, los libros, clases, artículos, sitios webs, y seminarios sobre hacking, podrían ser legítimamente renombrados a “conjunto de herramientas para la educación de profesionales en seguridad”. El problema surge cuando a las personas de marketing les gusta utilizar la palabra “hacking” porque atrae mas la atención y paga a los clientes.

Acciones Diferentes Realizadas por un Hacker No Ético

  • Posted on: 26 July 2018
  • By: ReYDeS

Cómo los atacantes maliciosos utilizan el sistema comprometido depende de sus objetivos globales, los cuales pueden incluir desde robar información sensible, redireccionar transacciones financieras, añadir los sistemas a su red de bots, extorsionar a la compañía, entre otras acciones. Lo relevante es los hackers éticos y no éticos realizan básicamente las mismas actividades, pero con diferentes intenciones.

El Proceso para Pruebas de Penetración

  • Posted on: 24 July 2018
  • By: ReYDeS

Cuando los administradores de red, ingenieros, y profesionales en seguridad entienden como los atacantes trabajan, pueden emular sus actividades realizando una útil prueba de penetración. ¿Pero quién querría emular un ataque?. Debido a ser la única manera de verdaderamente probar el nivel de seguridad del entorno, se debe conocer como reaccionar cuando se suscite un ataque real. Se deben entender las diferentes etapas, y comprender la cantidad de ataques factibles de ser realizadas.

El Proceso de Hacking Ético

  • Posted on: 23 July 2018
  • By: ReYDeS

Para protegerse a si mismas, las organizaciones deben entender el impacto y capacidad de un atacante. En este caso pueden emplear un hacker ético, también conocido como profesional en pruebas de penetración, para simular un ataque contra el entorno. Las técnicas utilizadas por los profesionales, están diseñadas para emular estos ataques reales pero sin causar daño; lo cual permite a las organizaciones protegerse mejor contra los ataques. Pero los clientes y los hackers necesitan entender como este proceso funciona.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete