Presentacion barcamp

634 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
634
En SlideShare
0
De insertados
0
Número de insertados
140
Acciones
Compartido
0
Descargas
3
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Presentacion barcamp

  1. 1. Herramientas de Hacking y Pentesting de bolsillo Jeffrey Borbón Sanabria Jeffto@eljeffto.com @eljeffto    
  2. 2. ¿Por qué? Armar un laboratorio de hacking y pentesting es  costoso si se quiere con todos los juguetes a nivel  de HW y SW. No es ético atacar a otros mientras aprendemos  aparte hay leyes locales y externas. Hay soluciones de código abierto y/o gratuitas. Recursos de fácil uso a través de virtualización,  portables, liveCD, liveUSB. Se puede trabajar con lo que hay.    
  3. 3. ¿Qué hay? ­ Objetivos Sistemas operativos  Windows  Linux Servicios  Comunicaciones  Bases de datos Aplicaciones   Escritorio/usuario final  WEB    
  4. 4. Sistemas Operativos + Servicios Windows  Federal Desktop Core Configuration (FDCC) http://nvd.nist.gov/fdcc/index.cfm  Linux  Moth (Bonsai ­ w3af)  (http://sourceforge.net/projects/w3af/files/moth/moth )   Metasploitable (Metasploit ­ Rapid7)  (http://www.metasploit.com/express/community)  Damn Vulnerable Linux  (http://www.damnvulnerablelinux.org)    
  5. 5. Aplicaciones Instalar versiones   Sun Java  conocidas por ser  Development Kit vulnerables de:  Adobe Shockwave  Player  Google Chrome  Microsoft Internet   Apple Safari Explorer  Microsoft Office  Realplayer   Adobe Reader y   Webkit de Apple Acrobat  Adobe Flash Player  Mozilla Firefox BIT9  QuickTime    
  6. 6. Aplicaciones web – 1era parte Damn Vulnerable Web App (http://dvwa.co.uk) Gruyere (http://google­gruyere.appspot.com) OWASP  WebGoat (Java)  Vicnum (Perl y PHP) ”Juego”  Insecure Web App (Java) Exploit­db (http://www.exploit­db.com/webapps) Moth (Stack web)    
  7. 7. Aplicaciones web – 2da parte UltimateLAMP   http://www.vmware.com/appliances/directory/189  Web Security Dojo  http://www.mavensecurity.com/web_security_dojo  Otras, incluso personalizadas...    
  8. 8. Aplicaciones web – 2da parte Para atacar en línea  http://testphp.vulnweb.com/  Acunetix PHP  http://testasp.vulnweb.com/ Acunetix ASP  http://testaspnet.vulnweb.com/ Acunetix ASP .NET  http://crackme.cenzic.com/ PHP  http://zero.webappsecurity.com ASP  http://google­gruyere.appspot.com Google Gruyere  Hay muchos más...    
  9. 9. ¿Y con que ataco? Recomendado 1 : Listado de aplicaciones para obtener información y  atacar  http://www.proactiverisk.com/links Recomendado 2: Katana   http://www.hackfromacave.com/katana.html    
  10. 10. Conclusión No es tener que manejar 1000 herramientas, es  saber usar la indicada en el momento correcto. En caso de ”meter la pata” basta con un reinicio de  la máquina virtual o un recover de la aplicación. Planeación, investigación, análisis, no ataque a la  ”loca” ”Un gran poder acarrea una gran responsabilidad” Happy Hacking    
  11. 11. Gracias Dudas Preguntas Aclaraciones Coscorrones  http://eljeffto.com  Twitter: @eljeffto  jeffto at eljeffto.com    

×