11 sept. 2015

Auditoría interna con SPARTA. Parte 1

Por Juan Antonio Calles el 11 sept. 2015 con 0 comentarios

Muy buenas a todos, en el post de hoy me gustaría hablaros de una potente herramienta que suelo utilizar durante las auditorías de seguridad interna, SPARTA.

Se trata de una aplicación gráfica, tipo Nessus u OpenVas, menos potente, pero más ligera, desarrollada en python y que nos simplifica muchas de las pruebas de penetración en un entorno de red. Automatiza la fase de descubrimiento y análisis de servicio, lanzando herramientas como nmap, nikto, hydra (para fuerza bruta), etc.

Características:

Run nmap from SPARTA or import nmap XML output.
Transparent staged nmap: get results quickly and achieve thorough coverage.
Configurable context menu for each service. You can configure what to run on discovered services. Any tool that can be run from a terminal, can be run from SPARTA.
You can run any script or tool on a service across all the hosts in scope, just with a click of the mouse.
Define automated tasks for services (ie. Run nikto on every HTTP service, or sslscan on every ssl service).
Default credentials check for most common services. Of course, this can also be configured to run automatically.
Identify password reuse on the tested infrastructure. If any usernames/passwords are found by Hydra they are stored in internal wordlists which can then be used on other targets in the same network (breaking news: sysadmins reuse passwords).
Ability to mark hosts that you have already worked on so that you don’t waste time looking at them again.
Website screenshot taker so that you don’t waste time on less interesting web servers

SPARTA puede ser descargada desde el siguiente enlace:

http://sparta.secforce.com/#Download

Aunque también la encontraréis en KALI Linux:

Su funcionamiento es muy sencillo, y basta con indicarle un rango de red para que comience a analizarla:

Una vez vaya descrubriendo activos, irá analizando los servicios que tenga operativos:

Y cada vez que identifique un servicio reconocido de tipo web, hará una captura de pantalla:

Por otro lado, al estilo Nessus nos permitirá listar los servicios localizados para poder estudiar posteriormente sus vulnerabilidades:

Como veis, una interesante herramienta de auditoría de la que continuaremos hablando mañana en el siguiente post.

Saludos!

auditoria

editar

Blog de ciberseguridad

11 sept. 2015

Auditoría interna con SPARTA. Parte 1

0 comentarios:

Publicar un comentario

Visitas

Blog apadrinado por:

Otros proyectos

Síguenos por email

Buscar

Artículos

¿Te perdiste FluCON?

Comunidades amigas

11 sept. 2015

Auditoría interna con SPARTA. Parte 1

Otros artículos relacionados

0 comentarios:

Publicar un comentario

Visitas

Blog apadrinado por:

Otros proyectos

Síguenos por email

Buscar

Artículos

¿Te perdiste FluCON?

Comunidades amigas