SlideShare una empresa de Scribd logo

Skipfish web application security scanner

Descargar como PPT, PDF
Tensor
Tensor

Skipfish web application security scanner

Entretenimiento y humor
1 de 27
Técnicas de Escaneo y Auditoria Web Herramienta Skipfish Clase 2 29/08/2013
Técnicas de Escaneo  Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero.
Técnicas de Escaneo  El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas.  Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.
Técnicas de Escaneo  Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo.  Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los banners, lo que hace que su informe de riesgo sea bastante completo.
Técnicas de Escaneo  Podemos encontrarla en kali
Técnicas de Escaneo
Técnicas de Escaneo  Cuando le damos abrir a la aplicación skipfish obtendremos la siguiente ventana
Técnicas de Escaneo
Técnicas de Escaneo  Recordemos que debemos tener privilegios de root o de administrador asi que tecleamos lo siguiente  sudo su
Técnicas de Escaneo  Posteriormente escribimos el pass del root que es con lo que ingresamos a bugtraq  123456
Técnicas de Escaneo  Posteriormente nos aparecerá lo siguiente, indicándonos que ya tenemos permisos de root
Técnicas de Escaneo  Ahora tecleamos el siguiente comando para empezar a escanear un sitio web (en mi caso metí la pagina :  ./skipfish –o /home/bugtraq/Desktop/tutorial http://example.com
Técnicas de Escaneo  Posteriormente cuando presionemos enter tendremos la siguiente secuencia que se muestra a continuación  Nota. Genera informes bastante grandes, en general puede tardar de 2 o 10 horas y generar informes de 100 a 800 Mb, depende mucho de nuestra velocidad de conexión.  Demasiado grande para auditorias rápidas pero bastante bueno para auditorias completas
Técnicas de Escaneo  Por ultimo checamos el informe que genero de acuerdo a la ruta que yo metí en la consola, por lo tanto debemos de ver lo siguiente
Técnicas de Escaneo  Abrimos la carpeta y le damos clic en index.html y nos aparecerá lo siguiente
Técnicas de Escaneo  Para mas información puedes visitar los siguientes enlaces:  http://code.google.com/p/skipfish/  http://bugtraq-team.com/

Recomendados

Escaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishEscaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - Skipfish
Wilson Vargas Agurto
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
Tensor
 
Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9
tantascosasquenose
 
Ada #6
Ada #6Ada #6
Ada #6
Braulio Argaez
 
Presentación1 rescu
Presentación1 rescuPresentación1 rescu
Presentación1 rescu
Vivian Consuelo Mendez Ventura
 
Blinda tu word press contra hackers
Blinda tu word press contra hackersBlinda tu word press contra hackers
Blinda tu word press contra hackers
Xavier Montaña Carreras
 
instalacion de netsuport student
instalacion de netsuport studentinstalacion de netsuport student
instalacion de netsuport student
brayan salazar pacompia
 
Conexion de Red
Conexion de RedConexion de Red
Conexion de Red
Paola Zarate
 

Recomendados

Escaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishEscaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - Skipfish
Wilson Vargas Agurto
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
Tensor
 
Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9
tantascosasquenose
 
Ada #6
Ada #6Ada #6
Ada #6
Braulio Argaez
 
Presentación1 rescu
Presentación1 rescuPresentación1 rescu
Presentación1 rescu
Vivian Consuelo Mendez Ventura
 
Blinda tu word press contra hackers
Blinda tu word press contra hackersBlinda tu word press contra hackers
Blinda tu word press contra hackers
Xavier Montaña Carreras
 
instalacion de netsuport student
instalacion de netsuport studentinstalacion de netsuport student
instalacion de netsuport student
brayan salazar pacompia
 
Conexion de Red
Conexion de RedConexion de Red
Conexion de Red
Paola Zarate
 
Antispyware
AntispywareAntispyware
Antispyware
Angel Cisneros
 
Descarga e instalación del programa r-cran
Descarga e instalación del programa r-cranDescarga e instalación del programa r-cran
Descarga e instalación del programa r-cran
TULIO CÉSAR OLIVAS ALVARADO
 
Presentación rescuetime
Presentación rescuetimePresentación rescuetime
Presentación rescuetime
Jose Ibañez
 
Administración de un sitio web
Administración de un sitio webAdministración de un sitio web
Administración de un sitio web
Darling Vilca Valdez
 
Google Analytics para Desarrolladores
Google Analytics para DesarrolladoresGoogle Analytics para Desarrolladores
Google Analytics para Desarrolladores
Bruno Barbieri
 
Programacion web
Programacion webProgramacion web
Programacion web
Nahomi Caceda Palacin
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
DanielFernandoRodrig4
 
Cómo poner una radio online en blogger
Cómo poner una radio online en bloggerCómo poner una radio online en blogger
Cómo poner una radio online en blogger
Fränciscää Tölëdö
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
Ramón Salado Lucena
 
Backtrack 5
Backtrack 5 Backtrack 5
Backtrack 5
angel tul
 
Correctos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCorrectos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila Rodriguez
Camila1b
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
Tensor
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
Tensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
Tensor
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
Tensor
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
Alonso Caballero
 
Comentarios
ComentariosComentarios
Comentarios
Leandro Peralta Navarro
 
Skipfish
Skipfish Skipfish
Skipfish
Mauro Parra-Miranda
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
Tensor
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
Saul Mamani
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
Alonso Caballero
 
Monitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerMonitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManager
dacasgo
 

Más contenido relacionado

La actualidad más candente

Correctos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCorrectos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila Rodriguez
Camila1b
 

La actualidad más candente (11)

Antispyware
AntispywareAntispyware
Antispyware
 
Descarga e instalación del programa r-cran
Descarga e instalación del programa r-cranDescarga e instalación del programa r-cran
Descarga e instalación del programa r-cran
 
Presentación rescuetime
Presentación rescuetimePresentación rescuetime
Presentación rescuetime
 
Administración de un sitio web
Administración de un sitio webAdministración de un sitio web
Administración de un sitio web
 
Google Analytics para Desarrolladores
Google Analytics para DesarrolladoresGoogle Analytics para Desarrolladores
Google Analytics para Desarrolladores
 
Programacion web
Programacion webProgramacion web
Programacion web
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
 
Cómo poner una radio online en blogger
Cómo poner una radio online en bloggerCómo poner una radio online en blogger
Cómo poner una radio online en blogger
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Backtrack 5
Backtrack 5 Backtrack 5
Backtrack 5
 
Correctos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCorrectos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila Rodriguez
 

Similar a Skipfish web application security scanner

Monitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerMonitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManager
dacasgo
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
Carlos Fernandez
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 

Similar a Skipfish web application security scanner (20)

Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Comentarios
ComentariosComentarios
Comentarios
 
Skipfish
Skipfish Skipfish
Skipfish
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Monitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerMonitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManager
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Present3
Present3Present3
Present3
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Comentarios
ComentariosComentarios
Comentarios
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 

Más de Tensor

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Skipfish web application security scanner

  • 1. Técnicas de Escaneo y Auditoria Web Herramienta Skipfish Clase 2 29/08/2013
  • 2. Técnicas de Escaneo  Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero.
  • 3. Técnicas de Escaneo  El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas.  Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.
  • 4. Técnicas de Escaneo  Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo.  Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los banners, lo que hace que su informe de riesgo sea bastante completo.
  • 5. Técnicas de Escaneo  Podemos encontrarla en kali
  • 7. Técnicas de Escaneo  Cuando le damos abrir a la aplicación skipfish obtendremos la siguiente ventana
  • 9. Técnicas de Escaneo  Recordemos que debemos tener privilegios de root o de administrador asi que tecleamos lo siguiente  sudo su
  • 10.
  • 11. Técnicas de Escaneo  Posteriormente escribimos el pass del root que es con lo que ingresamos a bugtraq  123456
  • 12.
  • 13. Técnicas de Escaneo  Posteriormente nos aparecerá lo siguiente, indicándonos que ya tenemos permisos de root
  • 14.
  • 15. Técnicas de Escaneo  Ahora tecleamos el siguiente comando para empezar a escanear un sitio web (en mi caso metí la pagina :  ./skipfish –o /home/bugtraq/Desktop/tutorial http://example.com
  • 16.
  • 17. Técnicas de Escaneo  Posteriormente cuando presionemos enter tendremos la siguiente secuencia que se muestra a continuación  Nota. Genera informes bastante grandes, en general puede tardar de 2 o 10 horas y generar informes de 100 a 800 Mb, depende mucho de nuestra velocidad de conexión.  Demasiado grande para auditorias rápidas pero bastante bueno para auditorias completas
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23. Técnicas de Escaneo  Por ultimo checamos el informe que genero de acuerdo a la ruta que yo metí en la consola, por lo tanto debemos de ver lo siguiente
  • 24.
  • 25. Técnicas de Escaneo  Abrimos la carpeta y le damos clic en index.html y nos aparecerá lo siguiente
  • 26.
  • 27. Técnicas de Escaneo  Para mas información puedes visitar los siguientes enlaces:  http://code.google.com/p/skipfish/  http://bugtraq-team.com/