Aprovechando que hace unos días se liberó la versión 2.4.2 de Zap, en ésta entrada veremos la manera de actualizar, además de la instalación y uso de los plugins. Para actualizar nuestra tool, tenemos que ir a la pestaña ‘Help’ y seleccionar ‘Check for Updates’ Se abrirá el ‘Manage Add-ons’ y si no tenemos la última versión, nos aparecerá un mensaje indicándonos que existe una versión más reciente.

Como saben BurpSuite se convirtio en mi extensión para las pruebas de pentesting traemos un video de Bsides Detroit en el cual procede a explicarnos Marius Nepomuceno como crear extensiones para BurpSuite una charla que no deben de perder si siguieron hasta ahora la serie de entradas. Espero les agrade buen resto del dia. Regards, Snifer

Muchos creen que con correr Nessus, Acunetix, OpenVAS, Netspaker , Vega y demás herramientas ya realizan un análisis de vulnerabilidades, ahora la otra cara de la moneda es que también consideran que las herramientas harán magia es decir con ejecutar una de ellas aseguran que cada una de las vulnerabilidades identificadas son correctas, y con ello les da el 100% de seguridad que su desarrollo esta bien realizado y una vez fixeados los problemas están listos para salir a producción con esta entrada quiero que comprendan los siguientes puntos, si eres desarrollador o bien pentester piénsalo:

Hola a todos esta oportunidad venimos con una serie de vídeos de Burp Suite los cuales son los que estuvieron siendo regalados por medio del cupón en REDDIT no se si lograron acceder a dicha oferta, unos videos que sirven para conocer la herramienta y comprender como trabaja, espero les agrade y buen inicio de semana. Descargar Videos Regards, Snifer

Antes de comenzar a ver la forma de realizar scripts en Zap, veremos de qué se trata Zest, ya que si no entendemos bien la base, es complicado construir hacia arriba. Zest, es un lenguaje de programación especializado en el scripting creado por el equipo de desarrolladores de seguridad de Mozilla orientada a tools de seguridad. Si querés investigar un poco más, acá está el sitio oficial: (Mozilla Projects Zest).

Nuevamente usaremos el discover y el crawler para identificar estas debilidades, conjuntamente con el fuzzer de ser necesario verán que estas ultimas entradas estamos explotando por decirlo así únicamente el uso de la herramienta y se va acoplando con las etapas anteriores de reconocimiento y descubrimiento valga la redundancia, por lo cual esta se apoya bastante a lo mismo, por lo tanto veremos algunas de las debilidades mas comunes relacionadas a este apartado.

El Forced Browse es un tipo de ataque para forzar la navegación dentro de un dominio con el fin de identificar recursos que no son accesibles desde una referencia (eso lo hace un crawling) pero aun están en algun directorio dentro del web server. Ya que tenemos claro el concepto, analicemos su puesta en marcha, veremos que bruteforcing sobre la navegación viene de la mano con la entrada anterior y el mecanismo es bastante similar.