SlideShare una empresa de Scribd logo

Herramientas de Pen Testing de redes y aplicaciones web

Descargar como PPT, PDF
Egdares Futch H.
Egdares Futch H.

Herramientas de análisis de vunerabilidades y pruebas de penetración de redes, dispositivos y aplicaciones Web

Tecnología
1 de 19
© 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1 Ethical Hacking Herramientas de Pen Testing de redes y aplicaciones web Sesión 2
 Las intrusiones cibernéticas son legales únicamente cuando se cuente con la autorización para llevar a cabo estas actividades en el contexto de una prueba de seguridad de la información.  El contenido de esta presentación y los ejemplos mostrados sirven para educar en las técnicas de pruebas de seguridad para defensa de activos de información, y en ningún momento deben considerarse como incentivos para llevar a cabo ataques a ninguna entidad o persona. ATENCIÓN
“Puede ser Rusia. También puede ser China. Puede ser alguien en su cama que pesa 400 libras.” - Donald J. Trump Bienvenidos
 Kali Linux  Badstore  Metasploitable Herramientas de hoy
HERRAMIENTAS BÁSICAS DEL PEN TESTING
 Herramienta básica para análisis de hosts y dispositivos conectados a la red  Comienzo suave con nmap –sP target  Seguimos con un reconocimiento de sistema operativo nmap –O target  Podemos continuar con un reconocimiento más agresivo con nmap –A target  Generalmente, estos scans serán detectados por dispositivos IDS/IPS -> usar –T0 o –T1 para ir lento  Recursos: https://blogs.sans.org/pen-testing/files/2013/10/NmapCheatS NMAP / ZENMAP
 Herramienta de línea de comando para análisis automatizado de aplicaciones Web  Corre en Windows, Linux  Se integra con Shodan, OpenVAS  Análisis base golismero SCAN <website>  Recursos: http://www.golismero.com/ Golismero
 Herramienta de línea de comando para auditar y recomendar mejoras en la configuración de sistemas derivados de *nix: AIX, Linux, Solaris, FreeBDS  Análisis de mejores prácticas de configuración  Análisis base lynis audit sistema –quick  Recursos: https://cisofy.com/lynis/ Lynis
 Nikto – uso básico nikto –h 192.168.1.1  Sparta – GUI para automatizar pruebas con nmap, nikto, screenshot, etc. Otras herramientas rápidas para integrar
 Herramienta enfocada en encontrar fallas en el código de aplicaciones Web, que pasan parámetros en el URL al estilo de http://www.example.com/?id=1  Reconoce hashes comunes de passwords e incorpora procesos de descifrado de fuerza bruta.  Incorpora métodos para abrir conexiones al servidor remoto a través de la base de datos  Usar sqlmap –wizard para pruebas asistidas  Recursos: http://sqlmap.org/ Sqlmap
Veamos un ejemplo en .NET function Main() { //Set up connection var user var cn = Server.createobject( "ADODB.Connection" ); cn.connectiontimeout = 20; cn.open( "localserver", "sa", "password" ); username = new String( Request.form(“user") ); if( user.length > 0) { Login( cn ); } cn.close(); } ¿Cómo ocurre un SQL Injection?
function Login( cn ) { var user; var password; username = Request.form(“user"); password = Request.form("password"); var rso = Server.CreateObject("ADODB.Recordset"); var sql = "select * from users where username = '" + user + "' and password = '" + password + "'"; trace( "query: " + sql ); rso.open( sql, cn ); if (rso.EOF) { rso.close(); } } ¿Cómo ocurre un SQL Injection?
 Examinemos el URL que la función de búsqueda de BadStore genera: http://badstore.net/cgi-bin/badstore.cgi/searchquery=hola&action=search...  En este caso, el parámetro está siendo trasladado directamente al query que se envía a la base de datos  Agreguemos parámetros para verificar si algo cambia http://badstore.net/cgi-bin/badstore.cgi/searchquery=hola+AND+1=1&action=search...  Probemos extraer data de la base de datos  ¿Podremos mapear todo el esquema de la base de datos? Lógica detrás de un SQL injection
 ‘  ‘ or 1=1 -- –Recordar dejar un espacio en blanco al final  ‘ union all select null,null,null,null from itemdb -- –Cuatro campos nulos que corresponden a los campos especificados en el query original  ‘ union all select null,null,null,@@version from itemdb –  ‘ union all select null,null,null,database() from itemdb – Strings para probar: BadStore
PROXYS
Operación básica de un Proxy
Otras formas de operar un proxy…
 Herramienta para hacer testing de aplicaciones Web  Puede instalarse como un proxy para analizar comunicación hacia una aplicación Web –Puede ser usado para analizar la interacción de aplicaciones móviles con su back-end  Incluye módulos para explorar y recorrer sitios Web, buscando vulnerabilidades, incluyendo SQL Injection y Cross-Site Scripting  Estamos usando la versión gratuita, que tiene limitaciones -> scanner, búsqueda, salvar estado  Recursos: https://portswigger.net/burp/download.html Burp Suite
 Otra herramienta para análisis de aplicaciones Web  Incluye scan de puertos, recorrido de sitio  Puede hacer “fuzzing” para pruebas de vulnerabilidades  Analiza y prueba SQL Injection, Cross-Site Scripting  Herramienta libre con funcionalidades abiertas  Recursos: https://www.owasp.org/index.php/OWASP_Zed_Attack _Proxy_Project OWASP Zed Attack Proxy (ZAP)

Recomendados

Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentestRamiro Estigarribia Canese
 
Nikto
Nikto Nikto
Nikto Rafael Ibarra Alvarez
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
Luis Fernando Aguas Bucheli
 

Recomendados

Modulo 5
Modulo 5Modulo 5
Modulo 5Cesar Zarate
 
4.test de penetración pentest
4.test de penetración pentest4.test de penetración pentest
4.test de penetración pentestRamiro Estigarribia Canese
 
Nikto
Nikto Nikto
Nikto Rafael Ibarra Alvarez
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
RootedCON
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
RootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
RootedCON
 
S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
Luis Fernando Aguas Bucheli
 
Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramienta
Egdares Futch H.
 
Más sobre el Algoritmo de Peterson
Más sobre el Algoritmo de PetersonMás sobre el Algoritmo de Peterson
Más sobre el Algoritmo de Peterson
Egdares Futch H.
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
noc_313
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentBest Practices
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Víctor Acosta Santivañez
 
Inteligencia Artificial: Despertar del sueño booleano
Inteligencia Artificial: Despertar del sueño booleanoInteligencia Artificial: Despertar del sueño booleano
Inteligencia Artificial: Despertar del sueño booleano
Egdares Futch H.
 
FIT GT - Build your own private cloud
FIT GT - Build your own private cloudFIT GT - Build your own private cloud
FIT GT - Build your own private cloud
Egdares Futch H.
 
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus TegucigalpaMGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
Egdares Futch H.
 
Arquitecturas Escalables de Web
Arquitecturas Escalables de WebArquitecturas Escalables de Web
Arquitecturas Escalables de Web
Egdares Futch H.
 
Seguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewallSeguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewall
Egdares Futch H.
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Egdares Futch H.
 
Unitec virtualización
Unitec virtualizaciónUnitec virtualización
Unitec virtualización
Egdares Futch H.
 
Criptografía para las masas
Criptografía para las masasCriptografía para las masas
Criptografía para las masas
Egdares Futch H.
 
The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014
Egdares Futch H.
 
El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)
Egdares Futch H.
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Priscill Orue Esquivel
 
Tendencias y Gestión de Riesgos para la Banca Electrónica
Tendencias y Gestión de Riesgos para la Banca ElectrónicaTendencias y Gestión de Riesgos para la Banca Electrónica
Tendencias y Gestión de Riesgos para la Banca Electrónica
Egdares Futch H.
 
El uso de los sistemas de información para la toma de decisiones estratégicas
El uso de los sistemas de información para la toma de decisiones estratégicasEl uso de los sistemas de información para la toma de decisiones estratégicas
El uso de los sistemas de información para la toma de decisiones estratégicas
Egdares Futch H.
 
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Egdares Futch H.
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
Ramiro Estigarribia Canese
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
gio_vani
 

Más contenido relacionado

Destacado

Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramienta
Egdares Futch H.
 
Más sobre el Algoritmo de Peterson
Más sobre el Algoritmo de PetersonMás sobre el Algoritmo de Peterson
Más sobre el Algoritmo de Peterson
Egdares Futch H.
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
noc_313
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentBest Practices
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Víctor Acosta Santivañez
 
Inteligencia Artificial: Despertar del sueño booleano
Inteligencia Artificial: Despertar del sueño booleanoInteligencia Artificial: Despertar del sueño booleano
Inteligencia Artificial: Despertar del sueño booleano
Egdares Futch H.
 
FIT GT - Build your own private cloud
FIT GT - Build your own private cloudFIT GT - Build your own private cloud
FIT GT - Build your own private cloud
Egdares Futch H.
 
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus TegucigalpaMGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
Egdares Futch H.
 
Arquitecturas Escalables de Web
Arquitecturas Escalables de WebArquitecturas Escalables de Web
Arquitecturas Escalables de Web
Egdares Futch H.
 
Seguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewallSeguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewall
Egdares Futch H.
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Egdares Futch H.
 
Unitec virtualización
Unitec virtualizaciónUnitec virtualización
Unitec virtualización
Egdares Futch H.
 
Criptografía para las masas
Criptografía para las masasCriptografía para las masas
Criptografía para las masas
Egdares Futch H.
 
The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014
Egdares Futch H.
 
El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)
Egdares Futch H.
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Priscill Orue Esquivel
 
Tendencias y Gestión de Riesgos para la Banca Electrónica
Tendencias y Gestión de Riesgos para la Banca ElectrónicaTendencias y Gestión de Riesgos para la Banca Electrónica
Tendencias y Gestión de Riesgos para la Banca Electrónica
Egdares Futch H.
 
El uso de los sistemas de información para la toma de decisiones estratégicas
El uso de los sistemas de información para la toma de decisiones estratégicasEl uso de los sistemas de información para la toma de decisiones estratégicas
El uso de los sistemas de información para la toma de decisiones estratégicas
Egdares Futch H.
 
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Egdares Futch H.
 

Destacado (20)

Digital forensics SIFT como herramienta
Digital forensics SIFT como herramientaDigital forensics SIFT como herramienta
Digital forensics SIFT como herramienta
 
Más sobre el Algoritmo de Peterson
Más sobre el Algoritmo de PetersonMás sobre el Algoritmo de Peterson
Más sobre el Algoritmo de Peterson
 
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
Revista .seguridad pruebas de penetración para principiantes- 5 herramienta...
 
Pentest vs Vulnerability Assessment
Pentest vs Vulnerability AssessmentPentest vs Vulnerability Assessment
Pentest vs Vulnerability Assessment
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...Herramientas de information gathering aplicadas al aseguramiento de informaci...
Herramientas de information gathering aplicadas al aseguramiento de informaci...
 
Inteligencia Artificial: Despertar del sueño booleano
Inteligencia Artificial: Despertar del sueño booleanoInteligencia Artificial: Despertar del sueño booleano
Inteligencia Artificial: Despertar del sueño booleano
 
FIT GT - Build your own private cloud
FIT GT - Build your own private cloudFIT GT - Build your own private cloud
FIT GT - Build your own private cloud
 
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus TegucigalpaMGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
MGTI: Tendencias de Tecnología 2015 - Campus Tegucigalpa
 
Arquitecturas Escalables de Web
Arquitecturas Escalables de WebArquitecturas Escalables de Web
Arquitecturas Escalables de Web
 
Seguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewallSeguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewall
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
 
Unitec virtualización
Unitec virtualizaciónUnitec virtualización
Unitec virtualización
 
Criptografía para las masas
Criptografía para las masasCriptografía para las masas
Criptografía para las masas
 
The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014The Hour of Code - Presentación Diciembre 2014
The Hour of Code - Presentación Diciembre 2014
 
El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)El "Internet de Todo" (IoT)
El "Internet de Todo" (IoT)
 
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
Análisis estáticos y dinámicos en la aplicación de pruebas de intrusión (Pene...
 
Tendencias y Gestión de Riesgos para la Banca Electrónica
Tendencias y Gestión de Riesgos para la Banca ElectrónicaTendencias y Gestión de Riesgos para la Banca Electrónica
Tendencias y Gestión de Riesgos para la Banca Electrónica
 
El uso de los sistemas de información para la toma de decisiones estratégicas
El uso de los sistemas de información para la toma de decisiones estratégicasEl uso de los sistemas de información para la toma de decisiones estratégicas
El uso de los sistemas de información para la toma de decisiones estratégicas
 
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
 

Similar a Herramientas de Pen Testing de redes y aplicaciones web

Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
gio_vani
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
José Moreno
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
Eduardo Arriols Nuñez
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
David Thomas
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
Carlos De la Cruz Riera
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
Franciny Salles
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
Chema Alonso
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
Egdares Futch H.
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
Jhonny D. Maracay
 
Backtrak guide
Backtrak guideBacktrak guide
Backtrak guide
Children International
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
peter69
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
UNAD
 
N i-k-t-o
N i-k-t-oN i-k-t-o
N i-k-t-o
Rafael Ibarra Alvarez
 
PRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptxPRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptx
ChristianAlbertoVega1
 

Similar a Herramientas de Pen Testing de redes y aplicaciones web (20)

3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
 
Backbox Distribución deriva de Ubuntu
Backbox Distribución deriva de UbuntuBackbox Distribución deriva de Ubuntu
Backbox Distribución deriva de Ubuntu
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Herramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidadesHerramientas de análisis de vulnerabilidades
Herramientas de análisis de vulnerabilidades
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Present3
Present3Present3
Present3
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Análisis Forense
Análisis ForenseAnálisis Forense
Análisis Forense
 
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a IncidentesFIT 2018 - Malware Avanzado y Respuesta a Incidentes
FIT 2018 - Malware Avanzado y Respuesta a Incidentes
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
 
Backtrak guide
Backtrak guideBacktrak guide
Backtrak guide
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
Taller Kali Linux3: Rastreando Informacion y Objetivos -HackMadrid ene13
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
 
N i-k-t-o
N i-k-t-oN i-k-t-o
N i-k-t-o
 
PRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptxPRESENTACION bajo costo.pptx
PRESENTACION bajo costo.pptx
 

Más de Egdares Futch H.

FIT 2020 - Artificial Life
FIT 2020 - Artificial LifeFIT 2020 - Artificial Life
FIT 2020 - Artificial Life
Egdares Futch H.
 
Blockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesBlockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicaciones
Egdares Futch H.
 
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminosMachine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Egdares Futch H.
 
BPMS vs. workflow
BPMS vs. workflowBPMS vs. workflow
BPMS vs. workflow
Egdares Futch H.
 
El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible
Egdares Futch H.
 
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La CeibaMGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
Egdares Futch H.
 
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Egdares Futch H.
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Egdares Futch H.
 
Apuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de MemoriaApuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de Memoria
Egdares Futch H.
 
Proyecto final progra 1
Proyecto final progra 1Proyecto final progra 1
Proyecto final progra 1
Egdares Futch H.
 
Analizador sintáctico de Pascal escrito en Bison
Analizador sintáctico de Pascal escrito en BisonAnalizador sintáctico de Pascal escrito en Bison
Analizador sintáctico de Pascal escrito en Bison
Egdares Futch H.
 
Ejemplo completo de integración JLex y CUP
Ejemplo completo de integración JLex y CUPEjemplo completo de integración JLex y CUP
Ejemplo completo de integración JLex y CUP
Egdares Futch H.
 
Ejemplo básico de CUP
Ejemplo básico de CUPEjemplo básico de CUP
Ejemplo básico de CUP
Egdares Futch H.
 
Laboratorio de integración JFlex y CUP
Laboratorio de integración JFlex y CUPLaboratorio de integración JFlex y CUP
Laboratorio de integración JFlex y CUP
Egdares Futch H.
 
Examen Final Programación 2 - 1992
Examen Final Programación 2 - 1992Examen Final Programación 2 - 1992
Examen Final Programación 2 - 1992Egdares Futch H.
 
Guia para calificar presentaciones de Sistemas Operativos
Guia para calificar presentaciones de Sistemas OperativosGuia para calificar presentaciones de Sistemas Operativos
Guia para calificar presentaciones de Sistemas Operativos
Egdares Futch H.
 
Alarm - Proyecto de implementación de un TSR en MS-DOS
Alarm - Proyecto de implementación de un TSR en MS-DOSAlarm - Proyecto de implementación de un TSR en MS-DOS
Alarm - Proyecto de implementación de un TSR en MS-DOS
Egdares Futch H.
 

Más de Egdares Futch H. (20)

FIT 2020 - Artificial Life
FIT 2020 - Artificial LifeFIT 2020 - Artificial Life
FIT 2020 - Artificial Life
 
Blockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicacionesBlockchain - Una mirada técnica y aplicaciones
Blockchain - Una mirada técnica y aplicaciones
 
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminosMachine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
Machine Learning: ¿Caminos? A donde vamos, no necesitamos caminos
 
BPMS vs. workflow
BPMS vs. workflowBPMS vs. workflow
BPMS vs. workflow
 
El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible El “Internet de Todo” (IoT) y lo que lo hace posible
El “Internet de Todo” (IoT) y lo que lo hace posible
 
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La CeibaMGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
MGTI: Tendencias de Tecnología 2015 y su aplicación en el país Campus La Ceiba
 
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
Introducción a la Teoría de Juegos con aplicación a las Ciencias de la Comput...
 
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
Análisis de ataques a un sistema de correo electrónico por medio de mensajes ...
 
Apuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de MemoriaApuntes de clase Sistemas Operativos: Administración de Memoria
Apuntes de clase Sistemas Operativos: Administración de Memoria
 
Memoria virtual
Memoria virtualMemoria virtual
Memoria virtual
 
Deadlocks
DeadlocksDeadlocks
Deadlocks
 
Concurrencia
ConcurrenciaConcurrencia
Concurrencia
 
Proyecto final progra 1
Proyecto final progra 1Proyecto final progra 1
Proyecto final progra 1
 
Analizador sintáctico de Pascal escrito en Bison
Analizador sintáctico de Pascal escrito en BisonAnalizador sintáctico de Pascal escrito en Bison
Analizador sintáctico de Pascal escrito en Bison
 
Ejemplo completo de integración JLex y CUP
Ejemplo completo de integración JLex y CUPEjemplo completo de integración JLex y CUP
Ejemplo completo de integración JLex y CUP
 
Ejemplo básico de CUP
Ejemplo básico de CUPEjemplo básico de CUP
Ejemplo básico de CUP
 
Laboratorio de integración JFlex y CUP
Laboratorio de integración JFlex y CUPLaboratorio de integración JFlex y CUP
Laboratorio de integración JFlex y CUP
 
Examen Final Programación 2 - 1992
Examen Final Programación 2 - 1992Examen Final Programación 2 - 1992
Examen Final Programación 2 - 1992
 
Guia para calificar presentaciones de Sistemas Operativos
Guia para calificar presentaciones de Sistemas OperativosGuia para calificar presentaciones de Sistemas Operativos
Guia para calificar presentaciones de Sistemas Operativos
 
Alarm - Proyecto de implementación de un TSR en MS-DOS
Alarm - Proyecto de implementación de un TSR en MS-DOSAlarm - Proyecto de implementación de un TSR en MS-DOS
Alarm - Proyecto de implementación de un TSR en MS-DOS
 

Último

Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
JimmyTejadaSalizar
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
CesarPazosQuispe
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
ItsSofi
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
sarasofiamontezuma
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
durangense277
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
espinozaernesto427
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 

Último (20)

Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
maestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdfmaestria-motores-combustion-interna-alternativos (1).pdf
maestria-motores-combustion-interna-alternativos (1).pdf
 
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
Semana 10_MATRIZ IPER_UPN_ADM_03.06.2024
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
Estructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdfEstructuras básicas_ conceptos básicos de programación.pdf
Estructuras básicas_ conceptos básicos de programación.pdf
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
Ventajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloroVentajas y desventajas de la desinfección con cloro
Ventajas y desventajas de la desinfección con cloro
 
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 

Herramientas de Pen Testing de redes y aplicaciones web

  • 1. © 2007 Cisco Systems, Inc. Todos los derechos reservados. Cisco Public 1 Ethical Hacking Herramientas de Pen Testing de redes y aplicaciones web Sesión 2
  • 2.  Las intrusiones cibernéticas son legales únicamente cuando se cuente con la autorización para llevar a cabo estas actividades en el contexto de una prueba de seguridad de la información.  El contenido de esta presentación y los ejemplos mostrados sirven para educar en las técnicas de pruebas de seguridad para defensa de activos de información, y en ningún momento deben considerarse como incentivos para llevar a cabo ataques a ninguna entidad o persona. ATENCIÓN
  • 3. “Puede ser Rusia. También puede ser China. Puede ser alguien en su cama que pesa 400 libras.” - Donald J. Trump Bienvenidos
  • 4.  Kali Linux  Badstore  Metasploitable Herramientas de hoy
  • 6.  Herramienta básica para análisis de hosts y dispositivos conectados a la red  Comienzo suave con nmap –sP target  Seguimos con un reconocimiento de sistema operativo nmap –O target  Podemos continuar con un reconocimiento más agresivo con nmap –A target  Generalmente, estos scans serán detectados por dispositivos IDS/IPS -> usar –T0 o –T1 para ir lento  Recursos: https://blogs.sans.org/pen-testing/files/2013/10/NmapCheatS NMAP / ZENMAP
  • 7.  Herramienta de línea de comando para análisis automatizado de aplicaciones Web  Corre en Windows, Linux  Se integra con Shodan, OpenVAS  Análisis base golismero SCAN <website>  Recursos: http://www.golismero.com/ Golismero
  • 8.  Herramienta de línea de comando para auditar y recomendar mejoras en la configuración de sistemas derivados de *nix: AIX, Linux, Solaris, FreeBDS  Análisis de mejores prácticas de configuración  Análisis base lynis audit sistema –quick  Recursos: https://cisofy.com/lynis/ Lynis
  • 9.  Nikto – uso básico nikto –h 192.168.1.1  Sparta – GUI para automatizar pruebas con nmap, nikto, screenshot, etc. Otras herramientas rápidas para integrar
  • 10.  Herramienta enfocada en encontrar fallas en el código de aplicaciones Web, que pasan parámetros en el URL al estilo de http://www.example.com/?id=1  Reconoce hashes comunes de passwords e incorpora procesos de descifrado de fuerza bruta.  Incorpora métodos para abrir conexiones al servidor remoto a través de la base de datos  Usar sqlmap –wizard para pruebas asistidas  Recursos: http://sqlmap.org/ Sqlmap
  • 11. Veamos un ejemplo en .NET function Main() { //Set up connection var user var cn = Server.createobject( "ADODB.Connection" ); cn.connectiontimeout = 20; cn.open( "localserver", "sa", "password" ); username = new String( Request.form(“user") ); if( user.length > 0) { Login( cn ); } cn.close(); } ¿Cómo ocurre un SQL Injection?
  • 12. function Login( cn ) { var user; var password; username = Request.form(“user"); password = Request.form("password"); var rso = Server.CreateObject("ADODB.Recordset"); var sql = "select * from users where username = '" + user + "' and password = '" + password + "'"; trace( "query: " + sql ); rso.open( sql, cn ); if (rso.EOF) { rso.close(); } } ¿Cómo ocurre un SQL Injection?
  • 13.  Examinemos el URL que la función de búsqueda de BadStore genera: http://badstore.net/cgi-bin/badstore.cgi/searchquery=hola&action=search...  En este caso, el parámetro está siendo trasladado directamente al query que se envía a la base de datos  Agreguemos parámetros para verificar si algo cambia http://badstore.net/cgi-bin/badstore.cgi/searchquery=hola+AND+1=1&action=search...  Probemos extraer data de la base de datos  ¿Podremos mapear todo el esquema de la base de datos? Lógica detrás de un SQL injection
  • 14.  ‘  ‘ or 1=1 -- –Recordar dejar un espacio en blanco al final  ‘ union all select null,null,null,null from itemdb -- –Cuatro campos nulos que corresponden a los campos especificados en el query original  ‘ union all select null,null,null,@@version from itemdb –  ‘ union all select null,null,null,database() from itemdb – Strings para probar: BadStore
  • 17. Otras formas de operar un proxy…
  • 18.  Herramienta para hacer testing de aplicaciones Web  Puede instalarse como un proxy para analizar comunicación hacia una aplicación Web –Puede ser usado para analizar la interacción de aplicaciones móviles con su back-end  Incluye módulos para explorar y recorrer sitios Web, buscando vulnerabilidades, incluyendo SQL Injection y Cross-Site Scripting  Estamos usando la versión gratuita, que tiene limitaciones -> scanner, búsqueda, salvar estado  Recursos: https://portswigger.net/burp/download.html Burp Suite
  • 19.  Otra herramienta para análisis de aplicaciones Web  Incluye scan de puertos, recorrido de sitio  Puede hacer “fuzzing” para pruebas de vulnerabilidades  Analiza y prueba SQL Injection, Cross-Site Scripting  Herramienta libre con funcionalidades abiertas  Recursos: https://www.owasp.org/index.php/OWASP_Zed_Attack _Proxy_Project OWASP Zed Attack Proxy (ZAP)