Curso de pentesting sobre aplicaciones Android

DIVA Android (Damn Insecure and vulnerable App for Android) es una aplicación Android intencionadamente vulnerable, creada con el objetivo de ser usada con fines educativos, para la enseñanza o el aprendizaje de pentesting en aplicaciones Android. Desde Pentesting Academy nos traen un curso llamado Pentesting Android Apps - DIVA, el cual usa como base la aplicación anteriormente mencionada. El curso esta compuesto por 13 vídeos disponibles de forma gratuita: Getting Started and Insecure Logging Hardcoding Vulnerabilities Insecure Data Storage 1 Insecure Data Storage 2 Insecure Data Storage 3 Insecure Data Storage 4 Input Validation Vulnerability 1 Input Validation Vulnerability 2 Access Control Vulnerability 1 Access Control Vulnerability 2 Access Control Vulnerability 3 Conclusion Si lo prefieres por escrito, en InfoSec Institute también tienen una serie de artículos (5 por el momento) explicando como aprovecharse de las vulnerabilidades en DIVA.
Leer más

Kali Linux 2.0

Hoy ha sido lanzada la nueva versión de Kali Linux. Este es sin duda el sistema más usado en auditorias de seguridad. No necesita presentación alguna y todas sus novedades las podéis encontrar en su blog oficial. Las diferentes imágenes de descarga las tenéis aquí, aunque se recomienda el uso de torrents para no saturar el servidor. Aquí os dejo el vídeo de presentación:
Leer más

Colección de herramientas de "pentesting" para entornos Windows

Cuando hablamos sobre auditar un sistema o sistemas, una de las primeras cosas que quizás haga uno sea armarse con una distribución Kali Linux, pero no sólo de Linux vive el pentester, de hecho un buen pentester debe ir más allá del simple uso de ciertas herramientas o sistema operativo. Si te enfrentas a una auditoría y todo de lo que dispones es de un sistema Windows, quizás esta colección de herramientas llamada Pentest Box te venga como anillo al dedo.
Leer más

Web for pentester II, curso sobre penetración en aplicaciones web

Los chicos de PentesterLab.com han vuelto con un nuevo curso sobre penetración en aplicaciones web: Web for pentester II. En éste tocan la base de datos MongoDB, una de esas bases de datos denominadas NoSQL y que están tan de moda actualmente. También tratan con problemas de autenticación, más inyección de SQL, Captchas, autorización, aleatoriedad y asignaciones masivas. Como de costumbre, el curso está basado en una máquina virtual (32 o 64 bits - mirror a la iso de 64 bits) y un PDF que sirve de guía.
Leer más

Ataques Man-In-The-Middle y otras pruebas pentesting usando hardware barato

Foto: Penturalabs Este proyecto utiliza un router modelo TP-LINK TL-WR703N (21€, que entre otras características es portátil y puede funcionar como punto de acceso WiFi) ó el TP-LINK TL-MR3020 (27€, es un poco más grande que el anterior) para crear un sistema de ataques tipo Man-In-The-Middle desde hardware que puedes llevarte a cualquier parte. El sistema que se instala en el dispositivo es un viejo amigo que ya conocemos, OpenWrt.
Leer más

Más explotación web

Los chicos de Pentesterlab.com nos vuelven a deleitar con otro curso guiado sobre penetración web. Web for pentester es un curso para principiantes donde podrás aprender los siguientes conceptos: Basics of Web Basics of HTTP Detection of common web vulnerabilities: Cross-Site Scripting SQL injections Directory traversal Command injection Code injection XML attacks LDAP attacks File upload Basics of fingerprinting El curso viene acompañado de un documento PDF con 106 páginas, más una máquina virtual especialmente preparada para seguir el documento anteriormente mencionado.
Leer más

Kali Linux 1.0 ya disponible

Ya os contamos que Backtrack iba pasar a llamarse Kali Linux. Pues bien, ya es una realidad. Se acaba de lanzar oficialmente Kali Linux. Las novedades con respecto a Backtrack son: Las actualizaciones vienen de los repositorios de Debian (4 veces al día). Las herramientas de Kali son empaquetadas de acuerdo a la “normativa” Debian. Algunas de las herramientas son actualizadas a su última versión (no necesariamente a su versión estable, night builds).
Leer más

Plataforma de pentesting sobre 3G

Bueno, esto sí que tiene buena pinta. ¿Os acordáis cuando hablamos del SheevaPlug o el GuruPlug? Pues ahora tenemos el PWN Plug 3G. El PWN Plug 3G es un dispositivo como el que ves en la foto. Realmente es un ordenador dentro de una caja del tamaño de una fuente de alimentación. Lo nuevo de este aparato es que viene con conectividad 3G, es decir, que si tienes cobertura 3G dónde lo tengas enchufado, tienes conexión a Internet.
Leer más

Convierte tu teléfono Android en una plataforma de pentesting

Ribadeo es una distribución linux basada en gentoo, preparada para correr sobre la plataforma Android. Dicha distribución está orientada al pentesting o auditorías de seguridad. Ribadeo tiene joyas como Metasploit, nmap o w3af, además de muchas otras herramientas de este tipo e intérpretes como Ruby, python o perl. Todo lo que necesitas es tener tu terminal rooted, es decir, debes tener control total sobre el sistema y ser capaz de ejecutar aplicaciones como root.
Leer más