SlideShare une entreprise Scribd logo

Skipfish web application security scanner

Télécharger en tant que PPT, PDF
Tensor
Tensor

Skipfish web application security scanner

Divertissement et humour
1  sur  27
Técnicas de Escaneo y Auditoria Web Herramienta Skipfish Clase 2 29/08/2013
Técnicas de Escaneo  Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero.
Técnicas de Escaneo  El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas.  Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.
Técnicas de Escaneo  Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo.  Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los banners, lo que hace que su informe de riesgo sea bastante completo.
Técnicas de Escaneo  Podemos encontrarla en kali
Técnicas de Escaneo
Técnicas de Escaneo  Cuando le damos abrir a la aplicación skipfish obtendremos la siguiente ventana
Técnicas de Escaneo
Técnicas de Escaneo  Recordemos que debemos tener privilegios de root o de administrador asi que tecleamos lo siguiente  sudo su
Técnicas de Escaneo  Posteriormente escribimos el pass del root que es con lo que ingresamos a bugtraq  123456
Técnicas de Escaneo  Posteriormente nos aparecerá lo siguiente, indicándonos que ya tenemos permisos de root
Técnicas de Escaneo  Ahora tecleamos el siguiente comando para empezar a escanear un sitio web (en mi caso metí la pagina :  ./skipfish –o /home/bugtraq/Desktop/tutorial http://example.com
Técnicas de Escaneo  Posteriormente cuando presionemos enter tendremos la siguiente secuencia que se muestra a continuación  Nota. Genera informes bastante grandes, en general puede tardar de 2 o 10 horas y generar informes de 100 a 800 Mb, depende mucho de nuestra velocidad de conexión.  Demasiado grande para auditorias rápidas pero bastante bueno para auditorias completas
Técnicas de Escaneo  Por ultimo checamos el informe que genero de acuerdo a la ruta que yo metí en la consola, por lo tanto debemos de ver lo siguiente
Técnicas de Escaneo  Abrimos la carpeta y le damos clic en index.html y nos aparecerá lo siguiente
Técnicas de Escaneo  Para mas información puedes visitar los siguientes enlaces:  http://code.google.com/p/skipfish/  http://bugtraq-team.com/

Recommandé

Escaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishEscaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishWilson Vargas Agurto
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scannerTensor
 
Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9tantascosasquenose
 
Ada #6
Ada #6Ada #6
Ada #6Braulio Argaez
 
Presentación1 rescu
Presentación1 rescuPresentación1 rescu
Presentación1 rescuVivian Consuelo Mendez Ventura
 
Blinda tu word press contra hackers
Blinda tu word press contra hackersBlinda tu word press contra hackers
Blinda tu word press contra hackersXavier Montaña Carreras
 
instalacion de netsuport student
instalacion de netsuport studentinstalacion de netsuport student
instalacion de netsuport studentbrayan salazar pacompia
 
Conexion de Red
Conexion de RedConexion de Red
Conexion de RedPaola Zarate
 

Recommandé

Escaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishEscaner de vulnerabilidades - Skipfish
Escaner de vulnerabilidades - SkipfishWilson Vargas Agurto
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scannerTensor
 
Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9Curso basicoseguridadweb slideshare9
Curso basicoseguridadweb slideshare9tantascosasquenose
 
Ada #6
Ada #6Ada #6
Ada #6Braulio Argaez
 
Presentación1 rescu
Presentación1 rescuPresentación1 rescu
Presentación1 rescuVivian Consuelo Mendez Ventura
 
Blinda tu word press contra hackers
Blinda tu word press contra hackersBlinda tu word press contra hackers
Blinda tu word press contra hackersXavier Montaña Carreras
 
instalacion de netsuport student
instalacion de netsuport studentinstalacion de netsuport student
instalacion de netsuport studentbrayan salazar pacompia
 
Conexion de Red
Conexion de RedConexion de Red
Conexion de RedPaola Zarate
 
Antispyware
AntispywareAntispyware
AntispywareAngel Cisneros
 
Descarga e instalación del programa r-cran
Descarga e instalación del programa r-cranDescarga e instalación del programa r-cran
Descarga e instalación del programa r-cranTULIO CÉSAR OLIVAS ALVARADO
 
Presentación rescuetime
Presentación rescuetimePresentación rescuetime
Presentación rescuetimeJose Ibañez
 
Administración de un sitio web
Administración de un sitio webAdministración de un sitio web
Administración de un sitio webDarling Vilca Valdez
 
Google Analytics para Desarrolladores
Google Analytics para DesarrolladoresGoogle Analytics para Desarrolladores
Google Analytics para DesarrolladoresBruno Barbieri
 
Programacion web
Programacion webProgramacion web
Programacion webNahomi Caceda Palacin
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datosDanielFernandoRodrig4
 
Cómo poner una radio online en blogger
Cómo poner una radio online en bloggerCómo poner una radio online en blogger
Cómo poner una radio online en bloggerFränciscää Tölëdö
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Backtrack 5
Backtrack 5 Backtrack 5
Backtrack 5 angel tul
 
Correctos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCorrectos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCamila1b
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scannerTensor
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scannerTensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Comentarios
ComentariosComentarios
ComentariosLeandro Peralta Navarro
 
Skipfish
Skipfish Skipfish
Skipfish Mauro Parra-Miranda
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Monitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerMonitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerdacasgo
 

Contenu connexe

Tendances

Presentación rescuetime
Presentación rescuetimePresentación rescuetime
Presentación rescuetimeJose Ibañez
 
Google Analytics para Desarrolladores
Google Analytics para DesarrolladoresGoogle Analytics para Desarrolladores
Google Analytics para DesarrolladoresBruno Barbieri
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datosDanielFernandoRodrig4
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Backtrack 5
Backtrack 5 Backtrack 5
Backtrack 5 angel tul
 
Correctos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCorrectos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCamila1b
 

Tendances (11)

Antispyware
AntispywareAntispyware
Antispyware
 
Descarga e instalación del programa r-cran
Descarga e instalación del programa r-cranDescarga e instalación del programa r-cran
Descarga e instalación del programa r-cran
 
Presentación rescuetime
Presentación rescuetimePresentación rescuetime
Presentación rescuetime
 
Administración de un sitio web
Administración de un sitio webAdministración de un sitio web
Administración de un sitio web
 
Google Analytics para Desarrolladores
Google Analytics para DesarrolladoresGoogle Analytics para Desarrolladores
Google Analytics para Desarrolladores
 
Programacion web
Programacion webProgramacion web
Programacion web
 
Informe amenazas a las bases de datos
Informe amenazas a las bases de datosInforme amenazas a las bases de datos
Informe amenazas a las bases de datos
 
Cómo poner una radio online en blogger
Cómo poner una radio online en bloggerCómo poner una radio online en blogger
Cómo poner una radio online en blogger
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Backtrack 5
Backtrack 5 Backtrack 5
Backtrack 5
 
Correctos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila RodriguezCorrectos usos de las tecnologias. Camila Rodriguez
Correctos usos de las tecnologias. Camila Rodriguez
 

Similaire à Skipfish web application security scanner

Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scannerTensor
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scannerTensor
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONTensor
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitationTensor
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyAlonso Caballero
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones webSaul Mamani
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Alonso Caballero
 
Monitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerMonitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerdacasgo
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 

Similaire à Skipfish web application security scanner (20)

Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
Skipfish web application security scanner
Skipfish web application security scannerSkipfish web application security scanner
Skipfish web application security scanner
 
VULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATIONVULNERABILITY ASSESSMENT AND EXPLOITATION
VULNERABILITY ASSESSMENT AND EXPLOITATION
 
Vulnerability assessment and exploitation
Vulnerability assessment and exploitationVulnerability assessment and exploitation
Vulnerability assessment and exploitation
 
Pentesting con Zed Attack Proxy
Pentesting con Zed Attack ProxyPentesting con Zed Attack Proxy
Pentesting con Zed Attack Proxy
 
Comentarios
ComentariosComentarios
Comentarios
 
Skipfish
Skipfish Skipfish
Skipfish
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
In seguridad de aplicaciones web
In seguridad de aplicaciones webIn seguridad de aplicaciones web
In seguridad de aplicaciones web
 
Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)Webinar OWASP Zed Attack Proxy (ZAP)
Webinar OWASP Zed Attack Proxy (ZAP)
 
Monitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManagerMonitoreo con OpManager y AppManager
Monitoreo con OpManager y AppManager
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014Presentacion Guia OWASP 2014
Presentacion Guia OWASP 2014
 
Present3
Present3Present3
Present3
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Comentarios
ComentariosComentarios
Comentarios
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 

Plus de Tensor

Libertad
LibertadLibertad
LibertadTensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisecciónTensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicularTensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colasTensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016Tensor
 
Game maker
Game makerGame maker
Game makerTensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivosTensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadenaTensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de ordenTensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametrosTensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónTensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricattiTensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioTensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadasTensor
 
Ondas em
Ondas emOndas em
Ondas emTensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticasTensor
 

Plus de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Dernier

los conejos y su vida, ciclos de reproduccion
los conejos y su vida, ciclos de reproduccionlos conejos y su vida, ciclos de reproduccion
los conejos y su vida, ciclos de reproduccionMabelJojoa1
 
reseña libro El Perfume de Patrick Süskind
reseña libro El Perfume de Patrick Süskindreseña libro El Perfume de Patrick Süskind
reseña libro El Perfume de Patrick Süskindtatianasuarez87
 
Pétalos de papel. Versión definitiva.pdf
Pétalos de papel. Versión definitiva.pdfPétalos de papel. Versión definitiva.pdf
Pétalos de papel. Versión definitiva.pdfEVELIAGARCIACARO1
 
educacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaa
educacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaaeducacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaa
educacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaaChristianMejiaM
 
teorias de la vida del origen de ser humano
teorias de la vida del origen de ser humanoteorias de la vida del origen de ser humano
teorias de la vida del origen de ser humanoJenry8
 
Una sirena en París.::: Mathias Malzieu.
Una sirena en París.::: Mathias Malzieu.Una sirena en París.::: Mathias Malzieu.
Una sirena en París.::: Mathias Malzieu.aloisius93
 
Lotería Mexicana - todas las cartas de 1 a la 54
Lotería Mexicana - todas las cartas de 1 a la 54Lotería Mexicana - todas las cartas de 1 a la 54
Lotería Mexicana - todas las cartas de 1 a la 54anamapumarejo
 
El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...
El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...
El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...Josué Guillermo Peñate Reyes
 

Dernier (8)

los conejos y su vida, ciclos de reproduccion
los conejos y su vida, ciclos de reproduccionlos conejos y su vida, ciclos de reproduccion
los conejos y su vida, ciclos de reproduccion
 
reseña libro El Perfume de Patrick Süskind
reseña libro El Perfume de Patrick Süskindreseña libro El Perfume de Patrick Süskind
reseña libro El Perfume de Patrick Süskind
 
Pétalos de papel. Versión definitiva.pdf
Pétalos de papel. Versión definitiva.pdfPétalos de papel. Versión definitiva.pdf
Pétalos de papel. Versión definitiva.pdf
 
educacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaa
educacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaaeducacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaa
educacion fisica sesion 02.pptxaaaaaaaaaaaaaaaaa
 
teorias de la vida del origen de ser humano
teorias de la vida del origen de ser humanoteorias de la vida del origen de ser humano
teorias de la vida del origen de ser humano
 
Una sirena en París.::: Mathias Malzieu.
Una sirena en París.::: Mathias Malzieu.Una sirena en París.::: Mathias Malzieu.
Una sirena en París.::: Mathias Malzieu.
 
Lotería Mexicana - todas las cartas de 1 a la 54
Lotería Mexicana - todas las cartas de 1 a la 54Lotería Mexicana - todas las cartas de 1 a la 54
Lotería Mexicana - todas las cartas de 1 a la 54
 
El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...
El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...
El Año Litúrgico es el desarrollo de los misterios de Cristo. sus tiempos, ce...
 

Skipfish web application security scanner

  • 1. Técnicas de Escaneo y Auditoria Web Herramienta Skipfish Clase 2 29/08/2013
  • 2. Técnicas de Escaneo  Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero.
  • 3. Técnicas de Escaneo  El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas.  Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.
  • 4. Técnicas de Escaneo  Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo.  Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los banners, lo que hace que su informe de riesgo sea bastante completo.
  • 5. Técnicas de Escaneo  Podemos encontrarla en kali
  • 7. Técnicas de Escaneo  Cuando le damos abrir a la aplicación skipfish obtendremos la siguiente ventana
  • 9. Técnicas de Escaneo  Recordemos que debemos tener privilegios de root o de administrador asi que tecleamos lo siguiente  sudo su
  • 10.
  • 11. Técnicas de Escaneo  Posteriormente escribimos el pass del root que es con lo que ingresamos a bugtraq  123456
  • 12.
  • 13. Técnicas de Escaneo  Posteriormente nos aparecerá lo siguiente, indicándonos que ya tenemos permisos de root
  • 14.
  • 15. Técnicas de Escaneo  Ahora tecleamos el siguiente comando para empezar a escanear un sitio web (en mi caso metí la pagina :  ./skipfish –o /home/bugtraq/Desktop/tutorial http://example.com
  • 16.
  • 17. Técnicas de Escaneo  Posteriormente cuando presionemos enter tendremos la siguiente secuencia que se muestra a continuación  Nota. Genera informes bastante grandes, en general puede tardar de 2 o 10 horas y generar informes de 100 a 800 Mb, depende mucho de nuestra velocidad de conexión.  Demasiado grande para auditorias rápidas pero bastante bueno para auditorias completas
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23. Técnicas de Escaneo  Por ultimo checamos el informe que genero de acuerdo a la ruta que yo metí en la consola, por lo tanto debemos de ver lo siguiente
  • 24.
  • 25. Técnicas de Escaneo  Abrimos la carpeta y le damos clic en index.html y nos aparecerá lo siguiente
  • 26.
  • 27. Técnicas de Escaneo  Para mas información puedes visitar los siguientes enlaces:  http://code.google.com/p/skipfish/  http://bugtraq-team.com/