Embed Size (px)
Citation preview
Técnicas de Escaneo y Auditoria WebHerramienta SkipfishClase 2 29/08/2013
Técnicas de Escaneo
Google, ha desarrollado una nueva herramienta gratuita para tratar de combatir los sitios que incluyen código malicioso, se trata de Skipfish, un escáner de seguridad para aplicaciones web. Esta aplicación está orientada a ser eficiente, veloz y con baja incidencia de falsos positivos. En los últimos meses, varias herramientas de seguridad web, han presentado falsos positivos. Skipfish, promete disminuir los falsos positivos a la mínima expresión, además es multiplataforma y bastante ligero.
Técnicas de Escaneo
El funcionamiento de Skipfish es sumamente sencillo. Al estar activado, genera un mapa interactivo para la página web que queramos visitar; para realizar esto se apoya en un rastreo recursivo del sitio en internet y en un amplio diccionario basado en sondas.
Luego, el mapa generado pasa por distintos controles de seguridad, para después, emitir un informe final, que permitirá realizar una evaluación del sitio web al que aspiramos ingresar, y detectar sus fallos de seguridad mucho antes que nos sorprendan a nosotros.
Técnicas de Escaneo
Skipfish, es una herramienta con la que se podrá visualizar rápidamente, si el sitio que se desea visitar es de bajo o alto riesgo.
Además, cuenta con una amplia base de datos, que le permite ubicar vulnerabilidades conocidas para los controles de los banners, lo que hace que su informe de riesgo sea bastante completo.
Técnicas de Escaneo
Podemos encontrarla en kali
Técnicas de Escaneo
Técnicas de Escaneo
Cuando le damos abrir a la aplicación skipfish obtendremos la siguiente ventana
Técnicas de Escaneo
Técnicas de Escaneo
Recordemos que debemos tener privilegios de root o de administrador asi que tecleamos lo siguiente
sudo su
Técnicas de Escaneo
Posteriormente escribimos el pass del root que es con lo que ingresamos a bugtraq
123456
Técnicas de Escaneo
Posteriormente nos aparecerá lo siguiente, indicándonos que ya tenemos permisos de root
Técnicas de Escaneo
Ahora tecleamos el siguiente comando para empezar a escanear un sitio web (en mi caso metí la pagina :
./skipfish –o /home/bugtraq/Desktop/tutorial http://example.com
Técnicas de Escaneo
Posteriormente cuando presionemos enter tendremos la siguiente secuencia que se muestra a continuación
Nota. Genera informes bastante grandes, en general puede tardar de 2 o 10 horas y generar informes de 100 a 800 Mb, depende mucho de nuestra velocidad de conexión.
Demasiado grande para auditorias rápidas pero bastante bueno para auditorias completas
Técnicas de Escaneo
Por ultimo checamos el informe que genero de acuerdo a la ruta que yo metí en la consola, por lo tanto debemos de ver lo siguiente
Técnicas de Escaneo
Abrimos la carpeta y le damos clic en index.html y nos aparecerá lo siguiente
Técnicas de Escaneo
Para mas información puedes visitar los siguientes enlaces:
http://code.google.com/p/skipfish/
http://bugtraq-team.com/
