Muy buenas a todos, tras unas merecidas vacaciones (sí, merecidas, ¡lo prometo!), volvemos a la carga desde Flu Project en esta nueva temporada para traeros más posts y hablaros sobre todas las novedades que tenemos en el mundo del hacking en los últimos meses. A lo largo de las próximas semanas iremos destripando el nuevo Kali Linux 2, os hablaremos de interesantes herramientas de auditoría interna y externa, más metasploit, más forense, una interesante cadena sobre análisis de APK maliciosos con PHP que daremos comienzo esta misma semana y muchas cosas más, que iremos desgranando poco a poco.
Aprovechamos también para recordaros que disponéis de Flu Project como plataforma para publicar vuestras investigaciones, hablar de vuestros desarrollos, de herramientas que no hayamos comentado aún en el blog o cualquier cosa que se os ocurra, siempre que trate sobre seguridad ;) Para ello simplemente debéis enviarnos un email a info[at]flu-project[dot]com enviándonos vuestros artículos en formato word (sin troyanos, ni scripts raros, que ya os conocemos y abrimos todo en VMs ;) ) y si nos convencéis, los publicaremos en el próximo hueco libre.
Vamos al meollo. Hoy, martes 1 de Septiembre, estaréis la gran mayoría volviendo al trabajo, a la rutina, con cara de pocos amigos, pensando aún en la playa, en las cañas frente al mar, en esos tintos de verano en la montaña... sí, yo también estoy sentimental ;P pero que no decaiga la fiesta, que pronto llega el fin de semana ¡y aún hace calor! Mientras tanto hoy queríamos hablaros de herramientas de auditorías web, en concreto de un interesante escáner de vulnerabilidades, for dummies, llamado Uniscan Web Vulnerability Scanner.
Uniscan es un completo escaner de vulnerabilidades web que nos facilitará las "labores básicas" de un pentest web, es decir, la recopilación de dominios y directorios, huellas del servidor, ficheros olvidados, backups, etc. así como sendas pruebas dinámicas como inyecciones SQL, XSS, CSRF, etc. a través de plugins.
Le dedicaremos varios posts a esta herramienta, por lo que hoy nos centraremos en su funcionamiento básico desde la interfaz gráfica.
La herramienta la podréis descargar desde el siguiente link:
Pero también la tendréis disponible en Kali Linux 1 y 2, en el menú "Web Vulnerability Scanners":
Una vez abierto el software os encontraréis con la siguiente pantalla:
Aunque su funcionamiento es tan claro que ni hace falta explicarlo, os he indicado con bocadillos para que sirve cada opción de la herramienta.
Dynamic tests lanzará los plugins referentes a inyecciones de código, que normalmente suelen ser los más interesantes, aunque si estáis en un entorno de producción es altamente recomendable que dichas pruebas se realicen de forma manual, no sea que algún insert/drop/etc. tenga éxito y.... bye bye! Idem con los test de stress cuyo objetivo es denegar el servicio de un site.
Una vez configurado el entorno pulsaremos sobre el botón "Start scan", y comenzará el análisis. Tras unos minutos, en función del tamaño del sitio web, finalizará el análisis y dispondremos de un reporte que será almacenado en la carpeta "reports" situada en la ruta donde se ha instalado Uniscan.
Como siempre digo, y parafraseando al Chuck Norris del bricolaje... fácil, sencillo y para toda la familia.
En el próximo post os hablaremos del modo consola de la herramienta y destriparemos algún informe de auditoría para que veais el tipo de reportes que genera.
Saludos!
parece muy interesante esta herramienta
ResponderEliminar