Post on 09-Jul-2015
Joshimar Castro Siguas
GMAIL: jccastro665@gmail.com
FACEBOOK: /joshimarc
¿QUE ES VULNERABILIDAD?
TIPOS DE ATAQUES
ESTADISTICAS DE ATAQUES
HERRAMIENTAS DE TESTEO
DEMO EN VIVO
Las vulnerabilidades son puntos débilesdel software que permiten que unatacante comprometa la integridad,disponibilidad o confidencialidad delmismo.
Básicamente se basa en aplicaciones que permiteejecutar código de scripting (javascript, entre otros)y es causado por la no verificación de los valoresintroducidos por el usuario.
Se basa en el envío de datos por parte del cliente a laaplicación con contenido malicioso y utilizados directamente,por ejemplo, en sentencias SQL. El típico caso de ataque deinyección es SQL Injection, aunque también tenemos HTMLInyection (como el XSS), XPath, XML. Todos estos ataquessuele producirse cuando el desarrollador confía demasiado enel usuario y no filtra correctamente todos los puntos deentrada de datos.
Este tipo de ataque permite a una página mal intencionada, al servisitado por una víctima, ejecutar una llamada Web a otra página(susceptible al usuario) y realizar una acción determinada sobre elsite víctima.
Esta Herramienta es muy buena ya que nos permite escanear diferentes tipos de errores tales
como: SPlugin motor (Crea tus propios plugins) Solicitud interceptor Solicitar diffing Solicitud repetidor Proceso de rastreo automático Solicitud / respuesta HTTP historia Estadísticas de solicitud de parámetros
Solicitar valores de los parámetros estadísticas Solicitud parámetro url firma y firma campo de cabecera El uso de un Proxy alternativo (Tor por ejemplo) Sql ataques (plugin) Server SideIncludes (plugin) Ataques XSS (plugin) RegistrosAttack Exportación de resultados a HTML o XML
Vegas subgraph es una plataforma de código abierto que nos permite probar la seguridad de
las aplicaciones web, dicha herramienta nos permite encontrar inyecciones de SQL
Cross –site scripting (XSS) tiene 3 niveles de escaneo
Herramienta de Inyeccion SQL deMultiples Databases Compatiblespara inyectar (MsSQL,MsSQLBlind,Oracle etc..) llegando ser paramuchos el mejor Inyecctorautomatizado de este tipo deVulnerabilidades.
HORA DE HACKEAR!!!!!!!!