Esta es la primera de las 18 cápsulas en las que trataremos sobre Penetration With Kali Linux, la estructura será similar a la de la certificación OSCP de OffSec. A lo largo de las entradas veremos básicamente las cinco fases de un penetration testing, adicionando el manejo de algunas tools esenciales como metasploit, nmap, wireshark, ncat, etc. Veremos también algo de web explotation y crearemos nuestro propio laboratorio para realizar las prácticas.

Nos encontramos ya en la última entrada sobre Zap, al menos por ahora, a lo largo de ésta cápsula veremos puntualmente la manera de manejar los reportes que nos permite exportar la tool. Generar un reporte. Una vez que terminamos de analizar el sitio, podemos ir a la pestaña ‘Reporte’ para elegir el tipo de reporte que queremos exportar. Los formatos más útiles son xml y html, ambos son personalizables y luego fácilmente se los puede convertir en pdf, como veremos en la siguiente práctica.

Ehhhh el 2 de Octubre el blog cumplió 4 años de estar en linea, aun recuerdo aquel dia en que cerraron la primera versión ahora pasa el tiempo y llevamos ya compartiendo por 4 años y 3 dias lo poco que voy aprendiendo miro en el tiempo reviso algunas entradas y noto cuanto he crecido como persona en el area laboral, conocí nueva gente la cual enriquece mi cada día, ver el ayer hace un año y el ahora me llena de orgullo a pesar de los errores que cometí falencias de las cuales supe como levantarme y seguir adelante, es necesario dar un gracias a @RizelTane que siempre soporta el tiempo que robo de los dos por escribir alguna entrada o leer y estudiar para ir creciendo, me queda dar las gracias a todos los escritores del blog los que vinieron de pasada y los que aun siguen ahí, apoyando con los diferentes post, ademas de cada uno de los lectores que vienen cada día esperando una nueva entrada o a los trolls que no paran de comentar de una manera bastante amigable.

Queridos lectores, ésta será la anteúltima cápsula, como bien mencionó Snifer. Por lo tanto veremos algunos recursos pequeños pero sumamente útiles de Zap que nos han quedado pendientes pero que no son los lo suficientemente extensos como para dedicarles toda una cápsula. Ctrl+i: Mediante la combinación de éstas teclas, Zap abre una ventana desde la cual podemos elegir una lista de urls para poder realizar un análisis. También podemos encontrar la opción si vamos a la pestaña ‘Tools’ y seleccionamos ‘Import a file containing URLs’

Este punto que esta considerado el número 9 del Top 10 de OWASP debido a que al realizar la identificación de vulnerabilidades en los componentes es posible lograr desde un escalamiento de privilegios hasta una denegación de servicio según la necesidad este reconocimiento viene a darse comenzando por el CMS, identificación de tecnología de desarrollo y los componentes del servidor. Por lo tanto con BurpSuite es posible identificar dicha tecnología y valores mencionados con anterioridad para identificarlo nos dirigimos a las cabeceras, de la respuesta que nos brindan como se ve a continuación.

Hola a todos este mes fue un mes de locos como se dice despedí a muchas personas, esta semana fue mi cumpleaños un año mas de vida que por cierto fue muy ameno compartir con la familia. Domingo 20 de Septiembre - Vinimos con el post numero 20 de la serie de BurpSuite en el cual presentamos un video con el que nos guia como crear nuestras extensiones y automatizar las tareas.

Un CSRF o XSRF no se encuentra en la categoria de un XSS aunque muchas veces es conocido con el segundo acrónimo XSRF, pero se encuentra estandarizado en CSRF por OWASP y MITRE para comentarles de groso modo y para que se comprenda, es una debilidad que tiene como objetivo el cliente, forzando a que ejecute una tarea sin su consentimiento esta debilidad puede ser desde un simple cierre de sesión hasta el envio de dinero en el caso de darse en alguna aplicación que cumpla con este objetivo.