El video de la semana en el blg viene de la mano de Nathan Clark una charla mas que interesante por el objetivo que tiene la cual es llegar a tener nuestro dispositivo móvil de ensueño con las herramientas de pentesting necesarias para trabajar con el. Lo mejor o que le da el plus necesario es que es posible con herramientas open source, me trae un recuerdo del nokia n900, aquel móvil que siempre desee adquirir.

Regularmente ando revisando y buscando algunos Check List para las diferentes tareas de pentesting como esta de Check List - Web Application Testing y hace un par de meses atras vinimos con uno semejante que es Check List - Mobile Application Testing debido a ello esta es una versión II y seguro se preguntan que tiene de diferente a la anterior.  Este checklist fue realizado de una manera totalmente diferente pero si basado en el OWASP Top 10 Mobile si veran en el boton que esta despues del enlace de descarga cuenta con un listado propio de herramientas para cada etapa.

En dos oportunidades estuvimos compartiendo los CheckList tanto de aplicaciones Moviles como tambien para aplicaciones Web, aqui estan ambos enlaces: CheckList Mobile. CheckList Web. Esta entrada que viene hoy, despues de algunos dias de descanso por razones de salud, retornamos en el blog con mas ganas que la anterior semana y comenzamos con este CheckList 2016 el cual fue compartido por Linkedin que fue donde lo vi en este momento no recuerdo exactamente el enlace.

Este checkList se encuentra basado en el análisis de OWASP el cual nos brindan las pruebas a realizar para cumplir con un test completo de una aplicación móvil no siendo unicamente esto para android mas todo lo contrario generalizando para las diferentes plataformas, en lo personal tuve la experiencia de realizar un par de analisis en uno de ellos logre explotar de manera satisfactoria logrando acceder a información sensibles de usuarios de la aplicación al realizar el proceso me guie en OASAM la metodologia hermana de OWISAM, pero cabe resaltar que OASAM aun esta en desarrollo y existen varios puntos que se tienen que mejorar, en estos dias como ando ordenando un poco el material de consultoria recorde del checklist que encontre posteriormente y es el que les muestro a continuación.

AWordpressScan es una herramienta desarrollada para Android, la cual realiza un análisis de vulnerabilidades a un portal que se encuentre con Wordpress a continuación veremos un poco de las opciones y que hace. Primero descargar el APK de su sitio oficial en Clshack.com o del repositorio en GITHUB WPScan Iniciamos la instalación de aWPVSCAN, el cual hace uso de los siguientes permisos. Tras un corto tiempo lo tendremos instalado y listo para divertirnos con el, la interfaz es simple y sencilla con 3 pestañas la primera que es aWPVSCAN el cual tiene un textbox para la url e iniciar el escaneo, ver el reporte realizado y por ultimo la de Send Report to Mail.

Un repositorio dedicado a APK’s de Hacking y Seguridad eso es L4bs For Android pero hey!! antes, trolls abstenerse es cierto que ya existe un proyecto y es Pengodroid cierto, pero para descargar algun apk específico que tenemos que hacer? bajar todo el paquete de PengoDroid o no es cierto. L4bs For Android tiene un poco mas de los APK de Pengodroid teniendo en cuenta que puedes bajar solo el que necesitas, no quiero decir que no se uso como base dos secciones de Pengodroid y algunos APK son mios que fui recolectando en su momento y ahora volvere al juego debido a que tengo una tablet de mi padre para jugar.