Laboratorio SniferL4bs
Ebook - OWASP Zed Attack Proxy Guide
·  1 min read
Esta¬†gu√≠a, libro, ebook, recopilaci√≥n como gusten llamarla, fue realizada¬†con el fin de tener una referencia y¬†gu√≠a¬†para el trabajo con¬†la herramienta OWASP ZAP, la cual estuvimos viendo en el blog, por un tiempo quisimos tanto mi persona Snifer, como Eric el autor de las entradas brindar todo el material en uno solo, para tenerlo a mano y hacer uso del mismo.¬† Esperamos que les agrade y sea de su gusto no se olviden si existe¬†alg√ļn¬†error o falla puedan notificarnos para mejorar, conforme vayamos¬†mejorando, iremos actualizando el contenido hasta la presentaci√≥n, ya en los pr√≥ximos¬†d√≠as¬†saldra el de BurpSuite, y¬†posterior a ello el de Pentesting con Kali, dar las gracias por todo a @BalderramaEric por animarse a escribir en este blog, que no es mas que un pedacito de internet, y bueno gracias a todos les dejo el link!

BurpSuite XXVI - Configurando BurpSuite con Genymotion
·  2 min read
Hace unas semanas atrás estuve en la pelea de hacer funcionar debidamente BurpSuite con Android en ese trajín opte por bajar la imagen para Android, jugar con mi movil 2.3.6 el cual al finalizar no tenia resultado hasta que en la 3 noche de pelea, logre configurar y hacer funcionar debidamente dicha configuración quiero registrar en el blog ademas de compartir con los lectores del blog y dar por concluido con esta la serie de Burp Suite.

BurpSuite XXV - Configuración de Plugins en BurpSuite
·  2 min read
Este punto abordaremos sobre los plugins, la configuración, instalación para dar una mayor automatización y pruebas, veremos la configuración del entorno relacionado a las librerías Jython y JRuby. Los plugins pueden ser desarrollados en Python, Ruby y Java por lo cual si desean darle una mirada al desarrollo les recomiendo que lean y se interioricen con la documentación.  Conociendo los plugins e instalación Anteriormente dimos un pantallazo sobre los plugins como usarlos e instalarlos ahora veremos a mas detalle conociendo un poco mas, recordando un poco la instalación y donde dirigirnos.

BurpSuite XXIV - An√°lisis Web OWASP, Redirecciones no validas y abiertas
·  2 min read
Mas que ser esto una funcionalidad como tal a mi parece llegar a ser algo muy especifico para explicar con la herramienta debido a que viene totalmente de la mano del pentester saber identificar y analizar las re direcciones para ver que hace y para donde nos llevan, si estas son de la aplicación o cumplen alguna otra funcionalidad y como dice el título del post existen dos tipos de re direcciones las principales:

Owasp Zaproxy X - Reporting
·  2 min read
Nos encontramos ya en la √ļltima entrada sobre Zap, al menos por ahora, a lo largo de √©sta c√°psula veremos puntualmente la manera de manejar los reportes que nos permite exportar la tool. Generar un reporte. Una vez que terminamos de analizar el sitio, podemos ir a la pesta√Īa ‚ÄėReporte‚Äô para elegir el tipo de reporte que queremos exportar. Los formatos m√°s √ļtiles son xml y html, ambos son personalizables y luego f√°cilmente se los puede convertir en pdf, como veremos en la siguiente pr√°ctica.

Owasp Zaproxy IX - Mezcladito de cosas que nos quedaron en el tintero.
·  4 min read
Queridos lectores, √©sta ser√° la ante√ļltima c√°psula, como bien mencion√≥ Snifer. Por lo tanto veremos algunos recursos peque√Īos pero sumamente √ļtiles de Zap que nos han quedado pendientes pero que no son los lo suficientemente extensos como para dedicarles toda una c√°psula. Ctrl+i: Mediante la combinaci√≥n de √©stas teclas, Zap abre una ventana desde la cual podemos elegir una lista de urls para poder realizar un an√°lisis. Tambi√©n podemos encontrar la opci√≥n si vamos a la pesta√Īa ‚ÄėTools‚Äô y seleccionamos ‚ÄėImport a file containing URLs‚Äô

BurpSuite XXIII - An√°lisis Web OWASP, Componentes con vulnerabilidades difundidas
·  2 min read
Este punto que esta considerado el n√ļmero 9 del Top 10 de OWASP debido a que al realizar la identificaci√≥n de vulnerabilidades en los componentes es posible lograr desde un escalamiento de privilegios hasta una denegaci√≥n de servicio¬†seg√ļn¬†la necesidad este¬†reconocimiento viene a darse comenzando por el CMS, identificaci√≥n de¬†tecnolog√≠a¬†de desarrollo y los componentes del servidor. Por lo tanto con BurpSuite es posible identificar dicha¬†tecnolog√≠a¬†y valores¬†mencionados con¬†anterioridad para identificarlo nos dirigimos a las cabeceras, de la respuesta que nos brindan como se ve a continuaci√≥n.