Revista Hacking Publico 3ra Edicion
Magazine Hacking Publico 3ra edicion - Herramientas para analasis de Vulnerabilidades
Magazine Hacking Publico 3ra edicion - Herramientas para analasis de Vulnerabilidades
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
vulnerabilidades, e Intruder para la personalización de<br />
los ataques para explotar vulnerabilidades inusuales.<br />
Esta suite permite al administrador buscar palabras<br />
clave, programar tareas, analizar objetivos y guardar,<br />
restaurar y comparar los resultados de escaneo. Para<br />
llevar a cabo tareas complejas, los administradores con<br />
conocimientos de Java pueden crear sus propios plugins.<br />
3. OpenVas<br />
Los administradores que trabajaron con Nessus deben<br />
encontrarlo similar a OpenVAS (Sistema de Evaluación<br />
de Vulnerabilidades Abiertas). OpenVAS fue creado<br />
como una herramienta gratuita a partir de la última<br />
versión gratuita de Nessus en 2005. Ambos utilizan varios<br />
escáneres para descubrir vulnerabilidades en servidores<br />
desde una máquina cliente. Pero esto no signica que<br />
Nessus y OpenVAS pueden apuntar a los mismos tipos de<br />
vulnerabilidad.<br />
Para instalar OpenVAS-8, el administrador puede elegir<br />
un paquete de terceros o compilar el código fuente. El<br />
escáner realiza actualizaciones diarias para las pruebas<br />
de vulnerabilidad de red (NVTs) a través del RSS<br />
OpenVAS NVT o a través de un servicio de fuentes<br />
comerciales. El administrador trabaja con el Asistente de<br />
Seguridad Greenbone, un servicio web delgado con una<br />
interfaz de usuario para navegadores web.<br />
Coordinando con el módulo de servicio OpenVAS<br />
Manager, el administrador gestiona las cuentas de<br />
usuario, y puede cambiar las reglas para reiniciar el<br />
número de escáneres OpenVAS que pueden apuntar a las<br />
redes y/o hosts especícos de sistemas operativos al<br />
mismo tiempo. El administrador también puede cambiar<br />
las conguraciones para permitir que un usuario escanee<br />
su propio host o sincronice manualmente su propio<br />
repositorio NVT con una fuente OpenVAS NVT. Él o ella<br />
puede controlar los horarios de escaneo y mantener una<br />
base de datos SQL, como MySQL o SQLite, de<br />
conguraciones de escaneo y resultados.<br />
4. Arachni<br />
Algunas herramientas de prueba de penetración<br />
permiten el análisis en múltiples dispositivos móviles<br />
(además de las computadoras). Una de las favoritas es<br />
Arachni, una herramienta gratuita de código abierto para<br />
Linux y Mac OS X que viene con interfaces grácas.<br />
/<strong>Hacking</strong><strong>Publico</strong><br />
www.<strong>Hacking</strong><strong>Publico</strong>.net<br />
Esta herramienta permite al administrador probar<br />
activamente aplicaciones web con scripting por todo el<br />
sitio (con variantes DOM), inyección de SQL, inyección<br />
de NoSQL, inyección de código, variantes de inclusión de<br />
archivos y otros tipos de inyecciones.<br />
Los administradores pueden congurar la herramienta<br />
para limitar los controles pasivos de los archivos a los<br />
números de tarjetas de crédito, números de Seguro Social,<br />
direcciones IP privadas y otros tipos de información.<br />
Desde su máquina cliente, pueden escanear un solo<br />
servidor o varios servidores que se ejecutan en Windows,<br />
S o l a r i s y / u o t r o s s i s t e m a s o p e r a t i v o s . L o s<br />
administradores que actúan como examinadores de<br />
penetración y que utilizan la herramienta como parte de<br />
su conjunto de herramientas de evaluación están exentos<br />
de la exigencia de una licencia para el uso comercial.<br />
Encontrar las herramientas de prueba de penetración<br />
adecuadas<br />
Para construir un conjunto de herramientas funcionales<br />
para pruebas de penetración, los administradores deben<br />
tener en cuenta las capacidades de cada herramienta.<br />
Deben incluir los objetivos especícos a ser probados, las<br />
técnicas de pruebas de penetración, la gama de tipos de<br />
vulnerabilidades, la facilidad de uso y otras variables. Las<br />
herramientas de prueba de penetración, al usarse juntas<br />
siempre que sea posible, deben ayudar a los<br />
administradores a encontrar un mayor número de<br />
vulnerabilidades.<br />
Importante: Este artículo fue tomado de internet y<br />
adaptado para <strong>Revista</strong> <strong>Hacking</strong> Público.<br />
www.rrsolucionesit.com<br />
30<br />
Columna Napster<br />
www.<strong>Hacking</strong><strong>Publico</strong>.net