Que tal, retomamos la serie de entradas de BurpSuite y esta oportunidad veremos algunas opciones adicionales de BurpSuite las cuales nos serviran al realizar algunas pruebas, no se olviden que dos dias estuvimos sin postear en el blog por lo tanto hoy los recuperaremos ;). Match and Replace Modificaciones HTML **Encoding and Decoding ** Match and Replace Esta opción de Match and replace nos permite realizar de manera automatica modificaciones cuando encuentra una relacion con lo que indicamos por ejemplo si deseamos que realize una modificacion del user agent, que este viene por defecto con la expresion regular para realizar dicha observación, esto lo use recientemente para validar el comportamiento de una pagina web en dispositivos móviles de manera directa con burpsuite para ello tenemos dicha opción en Proxy, Options en la parte inferior el Match and Replace.

Esta entrada forma parte de la serie de BurpSuite ya que es una presentación realizada en el OWASP AppSecEU13 donde Nicolas Grgoire nos presenta la herramienta explicando cada una de las opciones, y los querido TIPS que debemos de considerar, estos puntos tenia pensado hablar en el blog de estos puntos pero para no hacerlo mas largo y pasar a realizar el análisis OWASP con la herramienta, siguiendo la guia que nos da BurpSuite.

Los engagement tools sección de herramientas de ayuda/apoyo que nos brinda BurpSuite para realizar algunas tareas de reconocimiento e identificación de una manera mas rápida y fácil, a continuación conoceremos cada uno de ellos dando una pequeña y breve explicación la manera que nos puede servir. Buscador Búsqueda de Comentarios Búsqueda de Scripts Búsqueda de referencias Analizar el Objetivo Descubrir contenido Programar Tarea. Simulación de Testeo Manual Dichos Engagement Tools, los vemos al hacer un click derecho sobre nuestro objetivo como se ve en la siguiente captura.

Hey esta entrada llega a ser una rápida, la cual es para informarles que se tiene un nuevo Cheat Sheet disponible que es sobre NMAP falta hacer mejoras, adiciones es cierto conforme vaya pasando los días ire actualizando como por ejemplo con el uso de NSE mas comunes, descripción/categorización e información adicional que vaya identificando, además de ello comentarles que agregue información al Cheat de Nikto, y un aporte a DIG que vino por un error del repositorio anterior al dar mal el comando.

Una entrada rápida, mas que todo informativa para comentarles que ya se tiene disponible en el repositorio de Security Cheat Sheet a Metasploit el cual es una copia del Cheat del post anterior agradecer a Sans Institute por el trabajo y el aporte indirecto al proyecto que estuve iniciando por si no saben de lo que les hablo accedan al post Cheat Sheet de Seguridad Informática en la Terminal iré actualizando de a poco, por ahora ando con Tshark buscando y armando la chuleta respectiva.

Es momento de trabajar con Kali y las herramientas que nos brinda todo esto desde la terminal haciendo uso de Whois, Dig y Nmap considerando estos como un ejemplo ya que veremos otras herramientas más. En un proceso de pentesting lo primero que se realiza es el reconocimiento del sitio web, servidor equipos que nos den para las pruebas entonces en el caso de que tengamos un sitio web lo que haremos uso sera de las siguientes herramientas Whois, Dig, Nmap y Dnsmap cabe aclarar que no son las únicas herramientas pero si las que nos brindan la información necesaria.

La siguientes herramienta de la serie, es una de Windows la cual me olvide postearlo en su momento, quizas sea la edad ;), presentamos Acrylic Wifi una herramienta desarrollada por TarLogic nada que envidiar a LINSSID o inSSIDer que vimos con anterioridad en especial con LinSSID para Linux porque hace todo lo necesario. Sin des meritar lo que nos ofrece como ser un reconocimiento de clientes conectado al AP.