pentesting con android - nipper toolkit web scan
TRANSCRIPT
Pentesting con
AndroidNIPPER – TOOLKIT WEB SCAN
Quien soy yo?
Juan David Castro
Investigador de Seguridad Informática
Desarrollador Web
Experto de Marketing Digital (SEO, SEM, Social Media)
Facebook: fb.com/dylan.Irzi
Twitter: @Dylan_Irzi11
Contacto:
Agenda
Motivación
HackerPhone
Proyectos previos de herramientas de pentesting
La Herramienta: Nipper
CMS y sus Vulnerabilidades
Incidentes recientes
DEMO
Vectores de ataque con Nipper
Recomendaciones
Cooming Soon
Motivación
Pentesting desde Smartphone.
Falta de una herramienta Funcional
Primeramente la herramienta era privada.
Conociendo un poco…
Cuota de uso
De sistemas
operativo
(Smartphone)
Smartphone Hacking
Pwn Phone
Nexus 5Rom Basado en Android
Incluye Tools de Hacking
Teléfono Al Estilo Hollywood
Entonces previamente…
Existían diferentes herramientas:
- dSploit : Suite de pentesting de Red ( MiTM ,Port Scanner , RouterPWN )
- Shark for Root : Sniffer de Red
- DroidSheep: Sniffer de Red y Session Hijacking
- aWPScan : Escáner de vulnerabilidades de WordPress ( Not Root )
- WebSecurify : Escáner de vulnerabilidades web ( Proyecto no disponible )
- Andosid : DDoS Attack Tools
Entre otros muchos proyectos
Todos con algo en común:
Limitante ?
Problema ?
Accesibilidad ?
La Tool
Resolver
Nipper
Nipper : Toolkit Web Scan
Multiple ModulesMade in Java Not Root Access
From Pentester To Pentester, Nipper.
Nipper : Toolkit Web Scan
Listado de Módulos:
- IP Server
- CMS Detect & Version
- DNS Lookup
- Nmap ports IP SERVER
- Enumeration Users
- Enumeration Plugins
- Find Exploit Core CMS
- Find Exploit DB
- CloudFlare Resolver
- Identificación de Theme WP
- Detección de CMS Avanzado
Por que CMS?
Uso de CMS en sitios webs
Vulnerabilidades CMS
Fuente: http://es.slideshare.net/Imperva/cms-hacking-101
Especialmente WordPress
Estudio del 2015
de BuiltWith
Vulnerabilidades Frecuentes
80% 3rt Party Vulnerability
20% Core CMS
Incidentes
Incidentes de Cyber Seguridad
Enfoque de Atacantes
CMS Attack
Demo
Demo en vivo
Vectores de Ataque
3
2
1
WordPress Vulnerability
Base de datos de WPScan.
Core, Plugin y Theme
Vulnerability.
Xmlrpc Attack DoS
Brute Force CMS ( Beta )
Ataque De fuerza bruta a CMS
Anti-BruteForce Detection
Joomla Vulnerability
Database Exploit List
SQL Injection With
SQLMapChik
Drupal Vulnerability
Database Exploit List
Xmlrpc Attack DoS
Recomendaciones
Hardening CMS.
Alerta de Seguridad de su sistema de CMS.
Sistemas auto-penteting
Usar Web Application Firewall (WAF)
Cooming Soon
Incluir nuevos CMS.
Plugin para navegador Google Chrome.
Liberación de Versión para iOS.
Versión Web enlazada con App Android.
Entre otras nueva funcionalidades etc…
Dudas o Preguntas?
GRACIASHACK TO WORLD!
“”
PRESENTACION
VERSION NO FINAL
Esta presentación puede estar sujeta a cambios y modificaciones, no
representa la presentación final del evento.