English
Muy buenas a todos, en el post de hoy me gustaría hablaros de una potente herramienta que suelo utilizar durante las auditorías de seguridad interna, SPARTA.
Se trata de una aplicación gráfica, tipo Nessus u OpenVas, menos potente, pero más ligera, desarrollada en python y que nos simplifica muchas de las pruebas de penetración en un entorno de red. Automatiza la fase de descubrimiento y análisis de servicio, lanzando herramientas como nmap, nikto, hydra (para fuerza bruta), etc.
Características:
- Run nmap from SPARTA or import nmap XML output.
- Transparent staged nmap: get results quickly and achieve thorough coverage.
- Configurable context menu for each service. You can configure what to run on discovered services. Any tool that can be run from a terminal, can be run from SPARTA.
- You can run any script or tool on a service across all the hosts in scope, just with a click of the mouse.
- Define automated tasks for services (ie. Run nikto on every HTTP service, or sslscan on every ssl service).
- Default credentials check for most common services. Of course, this can also be configured to run automatically.
- Identify password reuse on the tested infrastructure. If any usernames/passwords are found by Hydra they are stored in internal wordlists which can then be used on other targets in the same network (breaking news: sysadmins reuse passwords).
- Ability to mark hosts that you have already worked on so that you don’t waste time looking at them again.
- Website screenshot taker so that you don’t waste time on less interesting web servers
SPARTA puede ser descargada desde el siguiente enlace:
Aunque también la encontraréis en KALI Linux:
Su funcionamiento es muy sencillo, y basta con indicarle un rango de red para que comience a analizarla:
Una vez vaya descrubriendo activos, irá analizando los servicios que tenga operativos:
Y cada vez que identifique un servicio reconocido de tipo web, hará una captura de pantalla:
Por otro lado, al estilo Nessus nos permitirá listar los servicios localizados para poder estudiar posteriormente sus vulnerabilidades:
Como veis, una interesante herramienta de auditoría de la que continuaremos hablando mañana en el siguiente post.
Saludos!
