Blogs

OWASP Broken Web Applications Project

  • Posted on: 14 January 2014
  • By: ReYDeS

OWASP Broken Web Applications Project, o por su traducción al Español "Proyecto OWASP de Aplicaciones Web Rotas". Es una colección de aplicaciones web vulnerables que son distribuidas dentro de una máquina virtual en el formato VMware, compatible con el producto sin costo VMware Player y VMware vSphere Hypervisor (ESXi)

La versión 1.1.1 de la Máquina Virtual fue publicada el 27 de Setiembre del 2013, y puede ser descargada directamente o utilizando Torrent.

THC-Amap

  • Posted on: 13 January 2014
  • By: ReYDeS

Amap es una herramienta de escaneo que permite identificar las aplicaciones funcionando en un puerto o puertos específicos. Esto se logra conectándose al puerto y enviando paquetes disparadores. Estos paquetes disparadores son típicamente saludos al protocolo de la aplicación. Muchos demonios de red solo responderán al saludo correcto. (ejemplo SSL). Amap entonces busca la respuesta es una lista e imprime cualquier coincidencia que encuentre.

Spidering con Webscarab

  • Posted on: 11 January 2014
  • By: ReYDeS

Webscarab es un framework para analizar aplicaciones que se comunican utilizando los protocolos HTTP y HTTPS. Está escrito en Java, y es portátil a varias plataformas. Webscarab tiene muchos modos de operación, los cuales son implementados por un número de plugins. En su uso más común, WebScarab opera como un proxy de interceptación, permitiendo al operador revisar y modificar las peticiones creadas por el navegador antes de que sean enviadas al servidor, además de revisar y modificar las respuestas devueltas desde el servidor antes de que sean recibidas por el navegador.

Instalación de Armitage en Kali Linux

  • Posted on: 10 January 2014
  • By: ReYDeS

Armitages es una herramienta de colaboración de “Red Team” para Metasploit que visualiza los objetivos, recomienda exploits, y expone características avanzadas de post-explotación en el framework.

Mediante una instancia de Metasploit el equipo podrá:

  • Utilizar las mismas sesiones
  • Host compartidos, datos capturados, y archivos descargados
  • Comunicarse a través de un log de eventos compartido
  • Ejecutar bots para automatiza tareas del Red Team

Metodología de Pruebas OWASP

  • Posted on: 9 January 2014
  • By: ReYDeS

Las Pruebas de Penetración no pueden ser una ciencia exacta, donde una lista completa de todos los posibles problemas a ser evaluados, pueden ser definidos. Una Prueba de Penetración es solo una técnica adecuada para evaluar la seguridad de las aplicaciones web bajo ciertas circunstancias. El objetivo es recolectar todas las posibles técnicas de pruebas, explicarlas y mantener la guía actualizada. El método de Pruebas de Penetración para Aplicaciones Web de OWASP está basada en una aproximación de tipo “Caja Negra”.

Escaneos TCP Null, FIN y Xmas

  • Posted on: 8 January 2014
  • By: ReYDeS

Estos tres tipos de escaneo (aunque son posibles más con la opción "–scanflags" de nmap) explotan un detalle en el RFC de TCP para diferenciar entre puertos abiertos y cerrados. La página 65 del RFC 793 dice; “Si el puerto destino tiene el estado CERRADO... un segmento entrante que no contiene un RST causa que un RST sea enviado en respuesta”. Luego la siguiente página discute sobre paquetes enviados a puertos abiertos sin los bits de control SYN, RST, o ACK, mencionando que: “es poco probable que lleguen aquí, pero si lo hacen, descartar el segmento y retornar”.

Window Scan

  • Posted on: 7 January 2014
  • By: ReYDeS

El Escaneo Window es exactamente el mismo que el escaneo ACK, excepto que este explota un detalle de implementación en ciertos sistemas para diferenciar los puertos abiertos de los cerrados, en lugar de imprimir siempre “unfiltered” cuando es devuelto un RST. Esto se hace examinando el campo TCP Window del paquete RST devuelto. En algunos sistema los puertos abiertos utilizan un tamaño de “ventana” positivo (incluso para paquetes RST) mientras que los cerrados tienen una ventana cero.

P0f3

  • Posted on: 6 January 2014
  • By: ReYDeS

P0f es una herramienta que utiliza una serie de sofisticados mecanismos netamente pasivos de huellas de tráfico, para identificar a los actores detrás de cualquier comunicación incidental TCP/IP, sin interferir de manera alguna. La versión 3 es una completa reescritura del código base original, incorporando un número significativo de mejoras para las huellas a nivel de red, e introduciendo la habilidad de razonar sobre las cargas a nivel de la aplicación (Por ejemplo HTT).

Algunas de las capacidades de p0f son:

DMitry

  • Posted on: 3 January 2014
  • By: ReYDeS

Dmitry (Deepmagic Information Gathering Tool), es un programa en línea de comando para UNIX/GNU/Linux, escrita completamente en C, la cual proporciona la capacidad de obtener tanta información como sea posible sobre un host objetivo.

Dmitry tiene una funcionalidad base con la posibilidad de añadir nuevas funciones. La funcionalidad base de Dmity permite obtener la información desde un host. Esta información puede ser desde una simple consulta Whois sobre el objetivo, hasta reportes de su tiempo de funcionamiento o relizar un escaneo de puertos TCP.

Videos de Webinars Gratuitos 2013

  • Posted on: 2 January 2014
  • By: ReYDeS

En el Año 2013 tuve el beneplácito de realizar varios eventos online o virtuales, Webinars Gratuitos, Talleres y Cursos. Todos ellos con una muy buena aceptación.

Se que una manera de agradecer todo el apoyo brindado durante el Año 2013, es compartiendo. Por esta razón he publicado en mi sitio Web, los videos correspondientes a los 15 Webinars Gratuitos dictados. Además como un "Plus", he publicado el video del Taller Online de Introducción al Pen-Testing.

http://www.reydes.com/d/?q=videos

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero