Bernhard Mueller es el autor de este documento en el cual se aborda el tema de Ingenieria Inversa en Android especificamente en el software de Tokens, fue un tema recientemente tratado hace un par de mes atras, lo comparto para todo aquel que le agrade y ademas para conocer un poco mas del tema, por ahora se va al baul de documentos por leer, y si es una entrada totalmente informativa sin contenido :P.

Hoy compartimos este libro en el Blog uno mas de la serie de libros HandBook en la entrada de OSCP la cual aun no ando con el tiempo para rendirlo comparti este libro o bueno solo lo mencione como referencia para estudiarlo, ahora que ando comenzando con Exploiting dando mis primeros pasos en entender ese mundo tome como libro base The ShellCoder’s Handbook Second Edition. Un resumen breve del contenido, que por cierto aborda Linux, Windows, Cisco, OSX.

Una de las primeras etapas en un análisis web, es la de identificar el objetivo realizando un relevamiento de la tecnología de desarrollo, el servidor donde se encuentra, si es un CMS o simplemente es una página estática. La gran parte de las veces este proceso se realiza de manera manual revisando las cabeceras de respuesta, haciendo uso de plugins como ser Wappalizer el cual se encuentra disponible para Firefox o Chrome y con un click identificamos si es un Wordpress, Joomla, u otro.

Estaremos en los próximos días con entradas relacionadas, sobre herramientas que nos permiten trabajar de una manera automática, apresurando el paso, teniendo una visualización mas amplia del objetivo o simplemente de vagancia y ver que se trae de por medio, depende de cada uno como usarlo y en donde, para lo cual se hace uso de estos escaners que estan pensados especificamente para los diferentes CMS que son usados en la implementación de paginas o servicios.

Con este script lo que haremos será interactuar directamente con Nessus, es decir desde una terminal TTY podremos manejar Nessus inicializando escaneos, deteniendo o pausando seguro más de uno debe andar pensando pero para que c@#@#$ deseamos hacer ello? Si ya contamos con la interfaz web para realizar los escaneos, es cierto pero muchas veces necesitamos tener siempre arriba, y en el caso de hacer un pentesting siempre hay ojos mirones entrando y saliendo o simplemente ojos no deseados en tu ordenador si no vamos a ello o en su defecto tenemos el servidor de Nessus en otro ordenador con esto podemos lanzarlos remotamente y realizar las pruebas de manera correcta.

Luego de un largo tiempo sin aportar en el blog, me convencí(eron) de lo bueno que es tener una dinámica de escritura y por sobre eso, de la importancia de compartir los conocimientos e investigaciones, ya que es la única manera de que todos podamos crecer como comunidad amante de la (in)seguridad informática. En ésta ocasión, vamos a ahondar en la variedad de herramientas que hay disponibles para realizar escaneos automatizados de vulnerabilidades en infraestructura que soporten ser ejecutadas sobre distribuciones de linux.

Como saben esta serie de BurpSuite cada dia va creciendo mas, y con ello voy retrazando aun más con el Ebook que toca meter mano e ir actualizando de a poco, tenerlo mientras mas antes mejor se que son varios por facebook y por el blog que comentan para cuando, la edición y fala de tiempo mas que todo pero sacare tiempo para armarlo. Para aportar al conocimiento y uso de la herramienta tenemos la siguiente lista de videos en el cual se tiene desde la configuración, y todas las funcionalidades de la herramienta un aporte audivisual a la serie que actualmente se tiene en el blog que esta aqui Serie de BurpSuite Si le dan click al boton podrán ver todo el listado de los videos.