Dashboard » Debates

Preguntas y respuestas para pentester


Felipe Barrios realizo una pregunta

¿Como calcular el precio de una vulnerabilidad critica/media/baja?

Hola necesito calcular el precio de una vulnerabilidad, acorde al riesgo. Algun consejo o experiencia?



Ver los 2 comentarios
Cannibal . ha comentado hace
casi 3 años

En relacion a cuanto se cobraria por arreglar una? Mucho tiene que ver con el impacto sobre el negocio, es dificil ponerle un valor - hay mucho de criterio de los "sales men"


Felipe Barrios ha comentado hace
casi 3 años

Pero existe alguna formula, que me permita realizar el calculo?


Completa tu perfil para poder comentar.


Felipe Barrios realizo una pregunta

¿Como puedo instalar nexpose-comunity vía linea de comandos?

Hola 👋, estoy probando nexpose en su versión comunity y me gustaría dejar la aplicación en un servidor en producción, alguna experiencia instalando nexpose-comunity en un servir vía comando? Saludos



Sé el primero en comentar

Completa tu perfil para poder comentar.


Luis Fernando Rojas Arroyo realizo una pregunta

Niveles Certified Ethical Hacker

Cuáles son los niveles de CEH ?. Y todas las demás áreas?

Soy nuevo en Backtrack Academy.



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

No hay niveles de CEH

El CEH es una certificacion mas teorica que practica. Aprenderas lo necesario para comprender el mundo del hacking ético.

El CEH no tiene niveles. Es una certificación que da las bases para hacking etico.

Existen certificaciones mas comoletas.como GWAP GPEN OSCP


Cannibal . ha comentado hace
casi 3 años

Especifico a tu pregunta y CEH, aca tienes el mapa de carrera de EC-Council** https://cert.eccouncil.org/career-path.html** Todo depende tambien donde apunta tu futuro de carrera segun tu conocimiento previo y actual (tu background), este mundo hoy en dia es inmenso - si estas recien empezando en esto, conocimientos de Networking son escenciales.


Completa tu perfil para poder comentar.


Phryam Ne realizo una pregunta

Problema al correr ruby en kali linux

Saludos, ultimamente e tenido problemas al correr programas en lenguaje ruby en especifico los exploits, si uso un exploit desde la console de metasploit todo funciona pero si busco el esploit con "searchsploit" y lo corro me da el siguiente error:

Traceback (most recent call last): 2: from mt.rb:12:in <main>' 1: from /usr/lib/ruby/2.5.0/rubygems/core_ext/kernel_require.rb:59:inrequire' /usr/lib/ruby/2.5.0/rubygems/coreext/kernelrequire.rb:59:in `require': cannot load such file -- msf/core (LoadError)



Ver todos comentarios
Cannibal . ha comentado hace
casi 3 años

TRata ejecutando esto gem update --system ,reinicia e intenta de nuevo.


Completa tu perfil para poder comentar.


Erick Echeverry Garcia realizo una pregunta

¿Como medir la seguridad que brinda un lenguaje de Programación?

Saludos a todos,

¿Como se puede definir el nivel de seguridad al momento de emprender un desarrollo independiente de que sea un lenguaje interpretado o compilado o si permita crear plataformas de escritorio, web o movil?



Ver los 3 comentarios
Cannibal . ha comentado hace
casi 3 años

Omar tiene razon y a ello agregaria ademas un poco de que quieres tu hacer y ver las capacidades de cada lenguaje, ademas esta claro que una vez terminado el proyecto un Risk Assessment (Analisis de riesgo) y penetration testing debe ser completado.


Elvooo Elvo ha comentado hace
más de 1 año

En parte de hacer Risk Assessment y Penetration Testing, también debes estudiar bien algunos sitios o plugins que puedan brindarte seguridad web, también orientarte, yo utilizo https://posicionamiento-web-barcelona.com/precio-diseno-web/ para resolver algunas dudas, te recomiendo mucho saber qué propiedades de seguridad abarca cada lenguaje que utilices!! un saludo grande


Completa tu perfil para poder comentar.


Phryam Ne realizo una pregunta

What other tool i can start after Metasploit

Daily I train with metasploit and linux, my question is what to do if I feel that I can not move forward because I do not know what else to start



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

Hi, if you are using metasploit all day maybe you are in the explotation phase, you can start with the post-explotation phase for enhance your abilities with this tool, exists others branches of the pentesting phase, maybe you can start with the malware discovery or the reverse engineering.


Phryam Ne ha comentado hace
casi 3 años

Thank you very much for having responded, I will do as you advised me


Completa tu perfil para poder comentar.


Felipe Barrios realizo una pregunta

¿Algunas opiniones acerca del scanner web arachni ?

Hola comunidad 👋, estoy haciendo un pequeño proyecto y estaba en la búsquedas de scanner de vulnerabilidades Web, probé un montón(Acunetix, Owasp Zap, Netsparker, burp suite), no me gustaron muchos ya que algunos son de pagos y otros hacen pruebas que no me convencen mucho como nikto, pero me gusto arachni, ustedes tienen alguna referencia o experiencia que pudieran compartir de arachni u otra herramienta enfocado a web, desde ya muchas gracias y saludos.

http://www.arachni-scanner.com/



Ver todos comentarios
Phryam Ne ha comentado hace
casi 3 años

No tengo una respuesta a tu pregunta pero quisiera que me digas algunos veneficios sobre aranchii, yo tambien estoy buscando un scanner. Saludos


Completa tu perfil para poder comentar.


Angel Mamani realizo una pregunta

Cursos de seguridad informatica presenciales.

En donde podria encontrar cursos presenciales sobre seguridad informatica , etical hacking, etc en Argentina y cual me conviene o es mas completo? Estoy por ir a vivir a tucuman, pero podria moverme a casi cualquier provincia a estudiar si deceo hacerlo.

Se que me aconsejaran usar los cursos on line pero tambien quisiera tener unos presenciales, muchas gracias!



Ver todos comentarios
Cannibal . ha comentado hace
casi 3 años

Angel, hola. Porque piensas que los pesenciales son mejores? Ademas te dire .. conozco el mercado de Argentina y los cursos presenciales no superan a los Online en nada ... hay mucho "vende humo" - en lo personal con ya tiempo en la industria te diria que el auto estudio rinde mcuhos mas frutos que estar pagando fortuna por "horas" de "super entrenamiento" (notese el uso de " ") Y es mas, Buenos Aires tendria que ser tu lugar para que tengas mas llegada a recursos presenciales si es que realmente eso quieres, pero online te facilita hacerlo desde donde sea ... la web esta lleno de recursos valiosos y mas completos que una sala de clases. Podemos extendernos sin problemas. Exitos.


Completa tu perfil para poder comentar.


Peregrine Hawk realizo una pregunta

No se cómo modificar archivo de configuración del VIM

Hola y buenos días. Tengo otra pregunta más. En la evolución (ejercicio de práctica) del vídeo pasado, que se trato del VIM y su manejo exactamente. No puedo modificar el archivo de configuración del VIM ni como usuario normal y tampoco iniciando la sesión de super-usuario. ¿Cómo puedo hacerle para modificar el archivo? De antemano muchas gracias el apoyo que me brindan



Ver los 3 comentarios
Peregrine Hawk ha comentado hace
casi 3 años

Disculpa Cannibal por responder hasta ahora. Bien estoy hablando del archivo de configuración del VIM que se encuentra en el directorio /etc/vimrc. Sobre el sistema operativo Elementary OS y con la cuenta de root, no puedo modificar este archivo ni como usuario normal, que es muy lógico y tampoco como super usuario. En modo administrador, no se de que me estas hablando. ¿Puedes ayudarme si se puede? Ya que ocupo modificar este archivo para el mejor uso del vim dentro de la linea de comandos. De antemano muchas gracias Cannibal


Peregrine Hawk ha comentado hace
casi 3 años

Disculpa Cannibal por responder hasta ahora. Bien estoy hablando del archivo de configuración del VIM que se encuentra en el directorio /etc/vim/vimrc. Sobre el sistema operativo Elementary OS y con la cuenta de root, no puedo modificar este archivo ni como usuario normal, que es muy lógico y tampoco como super usuario. En modo administrador, no se de que me estas hablando. ¿Puedes ayudarme si se puede? Ya que ocupo modificar este archivo para el mejor uso del vim dentro de la linea de comandos. De antemano muchas gracias Cannibal


Completa tu perfil para poder comentar.


Peregrine Hawk realizo una pregunta

Cuando usar las tuberias en linux

Maestra Julita, buenos días. Tengo una pregunta más, espero que no sea yo muy molesto por tanta pregunta que hago. ¿Cúal es la función de las tuberías? y ¿Cómo puedo saber cuando usarlas? De antemano muchas gracias por tu apoyo.



Ver los 2 comentarios
Cannibal . ha comentado hace
casi 3 años

Hola, no soy Julita, pero tratare de responderte. Las tuberias (pipe en ingles suena mejor ciertamente), tomalo como separadores de comando por ejemplo, tambien sirve para indicar en una sola linea de varias instrucciones que lo que esta a la izquierda de tu/s comando/s si tiene una salida, sea la entrada del proximo comando despues del pipe.

No todos los comandos aceptan entrada "input" cuando es la salida "output" de otros, para ello siempre si estas en linux puedes usar el comando man [comando] y leer la ayuda.

Espero sirva, cualquier cosa puedes preguntar mas al respecto y tratare de ser mas claro con ejemplos.


Peregrine Hawk ha comentado hace
casi 3 años

Cannibal dejame ver si entendi. ¿Quieres decir que las tuberias son separadores de comandos y que puedo usarlas cuando tengo varios comandos en una sola línea? Si es así, es muy fácil entenderlo. Me gusto tu explicación. Muchas gracias por tu ayuda Cannibal.


Completa tu perfil para poder comentar.


Jermmy Rodríguez Moreno realizo una pregunta

Estrategia de Seguridad en la Nube

Buenas noches, queria consultar como realizan una estrátegia de Seguridad para obtener servicios en la nube?

que tengo que tomar en cuenta, alguna guia o mejor practica.

Saludos y muchas gracias.



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

Primero tenemos que definir que tipo de ambiente en la nube es. No es lo mismo un sistema en azure que un google Drive Generalmente los proveedores ya cuentan con ciertos mecanismos de seguridad como balanceadores de carga, WAF, IDS, etc. Eso no quita que tengamos que realizar hardening a los sistemas.operativos y aplicaciones. Existen herramientas que ya nos apoyan en evaluaciones de seguridad en ambientes cloud, se pueden hacer analisis de vulnerabilidades, verificaciones de acuerdo a estandares y pruebas de penetración.


Jermmy Rodríguez Moreno ha comentado hace
casi 3 años

Estoy tomndo este manual como referencia para ver si creo la estrátegia.

https://drive.google.com/open?id=1HLivIS2nkoLMxCkWOdqB45KRLSVnjVeo


Completa tu perfil para poder comentar.


Peregrine Hawk realizo una pregunta

Algunas teclas en mi computadora no funcionan con VIM

Buenos días maestra Julita. Antes que nada me llamo César y tengo un pequeño problema, puede que haya más preguntas, por el momento tengo esta. Estoy usando GNU/Linux Elementary OS basado en GNU/Linux Ubuntu y este proviene de GNU/Linux Debian. Las teclas de escape y minúsculas para empezar una nueva línea en VIM no funcionan. ¿Qué teclas puedo usar aparte de la i? De ante mano muchas gracias por tu apoyo.



Ver los 3 comentarios
Peregrine Hawk ha comentado hace
casi 3 años

Hola y buenos días Omar. Si acabo de terminar el capítulo relacionado con el uso del VIM. Pero aun así, hay algunas teclas y combinaciones de las mismas que no funcionan en mi laptop. Muchas gracias Omar por tu apoyo.


Peregrine Hawk ha comentado hace
casi 3 años

Maestra Julita tengo otra pregunta. En la última evolución del video sobre el manejo del VIM. Hablas especificamente sobre la modificación del archivo vimrc, que es el de configuración sobre el comportamiento del mismo programa. Al hacer el ejercicio entrando en la cuenta del superusuario, no pude hacer los cambios, ya que al poner en modo normal el VIM, me marca un código de error y no puedo hacer los cambios, ni usando :wq y zz. ¿Comó puedo hacerle para modificar el archivo de manera que me recomiendas? De antemano muchas gracias por tu apoyo maestra Julita.


Completa tu perfil para poder comentar.


Peregrine Hawk realizo una pregunta

A que se refiere comando cp con la opción R?

Buenar tardes maestra. Exactamente en le comando de copiar cp en el uso de la terminal. ¿A que se refiere con eso de la opción -R que es de forma recursiva? De antemano muchas gracias por tu apoyo.



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

Hola, esto quiere decir que copie tambien los subfolders/archivos que se encuentren bajo el directorio. Saludos


Peregrine Hawk ha comentado hace
casi 3 años

Ok ahora entiendo mejor a lo que te refieres. Muchas gracias Omar por tu respuesta. Saludos


Completa tu perfil para poder comentar.


Peregrine Hawk realizo una pregunta

Para que se usa el comando grep?

Bueno seleccione esta categoría por que no hay otra mas. Estoy en el curso de GNU/Linux, y mi pregunta es la del titulo de este mensame. Por lo que veo el comando grep se coloca después de una tubería, segun el ejemplo. Pero más que nada, ¿Este comando se usa para filtrar palabras? o ¿Tiene más funciones? De antemano muchas gracias por su apoyo.



Ver los 3 comentarios
Julita Inca ha comentado hace
casi 3 años

Hola, la respuesta para el comando grep es que hace una búsqueda de coincidencias en un archivo, un conjunto de archivos o en una salida estandar, y los imprime, No necesariamente va despues de una tuberia. Lo de los permisos a la sección de LABS es manejado por la plataforma. Saludos.


Peregrine Hawk ha comentado hace
casi 3 años

Maestra Julita, gracias por tu respuesta. Yo pensaba que se usaba inmediatamente después de una tubería, muchas gracias de nuevo por tu apoyo.


Completa tu perfil para poder comentar.


Jermmy Rodríguez Moreno realizo una pregunta

Quien es el encargado de presentar la estrategia de ciberSeguridad de la empresa?

Quien es el encargado de presentar la estrategia de ciberSeguridad de la empresa?

El CISO, el administrador de seguridad de Ti? o quien deberia ser?



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

La estrategia es una desicion de la alta direccion y generalmente se aplica a toda la.organizacion.

Cada area que congorma la.organizacion es responsable de distintas actividades, como clasificar la informacion, cumplir con las politicas internas y las leyes de cada pais (si es que aplicara)

El oficial de seguridad es el encargado de verificar que las politicas se cumplan y recopilar la evidencia de ello.

Como tal al presentar los resultados, el CISO/ISO es el portavoces de los reportes que cada getente le entrega


Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

Al tener mayor inexperiencia, el CISO debe de cumplir con todo y tomar desiciones sobre las areas de oportunidad y sugerir las mejoras o cambios


Completa tu perfil para poder comentar.


Estudiante realizo una pregunta

Que características debe tener mi computadora para un ataque de fuerza bruta?

Que características debe tener mi computadora , si quiero realizar fuerza bruta. que es lo que realmente se necesita, un mejor procesador ? , mas memoria ram?, cuanto demoraría en desencriptar una contraseña de 12 dígitos?.



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
alrededor de 3 años

Es importante que tengas un buen procesador y mucha RAM.


Emanuel Castaño ha comentado hace
casi 3 años

omar te dice los puntos claves que necesitam ram y procesador lo mas que puedas , pero lo que dices de una contraseña de 12 digitos es una locura realizarle fuerza bruta a eso aparte si utilizas un diccionario alfanunerico serian muchas teras asi que ese es otro gasto y se demoraria meses , si lo haces a un sistema onlinea creeme que los segundos que comiences a hacer la fuerza bruta se comenzaran a dar cuenta, lo mas posible es que utilices diccionarios que crean contraseñas con informacion que les brindes de la persona a la que quieras vulnerar algunas veces funciona otras veces no , pero para mi la fuerza bruta es el ultimo recurso.


Completa tu perfil para poder comentar.


Alan Armando Chavez Cruz realizo una pregunta

Hacking a dispositivos android

En mi clase de *seguridad informatica *nos dejaron hacer un proyecto de ataque y defensa. El proyecto es libre, me gustaria por ejemplo con mi computadora acceder a mi telefono y por ejemplo descargar sus fotos videos o activar su camara y grabar video y ademas proponer una forma de protegerse ademas de exponer porque es una practica posible pero es ilegal.

Nose si alguien me podria ayudar o si conocen algun tutorial de como hacer eso. me han dicho que con kali linux pero aun no encuentro como.



Ver todos comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
alrededor de 3 años

Hola, puedes hacer esto con MSFVenom y generar una sesion cuando se instale un apk malicioso, tenemos mas detalles en el siguiente curso. https://backtrackacademy.com/curso/hacking-android . Saludos


Completa tu perfil para poder comentar.


Edwin Saavedra realizo una pregunta

RSAT para servidores windows 2008

Alguien sabe manejar la aplicacion Server Manager? tengo una cantidad aproximada de 20 servidores Windows Server 2008 y la verdad se e hace muy tedioso entrar uno a uno con el escritorio remoto. Supe de Server manager para administrar todos en una sola raiz sin embargo no tengo idea de como usarla para aprovechar al maximo sus funciones.



Ver los 2 comentarios
Cannibal . ha comentado hace
alrededor de 3 años

Edwin, hola. Especificamenete tu quietes desde Server Manager en Windows Server 2008 administrar otros servidores? , que servicios especificamente ? O solo buscas tener un lugar centralizado para acceder a traves de RDP a tus distintos servidores en la red?

Exitos!


Edwin Saavedra ha comentado hace
alrededor de 3 años

Hola Cannibal, Muchas gracias por tomarte el tiempo para responder..!

En efecto, mi interes sobre el Server manager es simplemente el de centralizar todos los servidores desde mi laptop con windows 10 pro. Lo cual me permita ver de manera rapida un pantallazo a las actualizaciones, los espacios en disco de cada servidor y el estado en cuanto a rendimiento de las maquinas. Eso mas que nada, tienes alguna idea de como implementarlo?

Saludos y gracias!


Completa tu perfil para poder comentar.


Antonio Gonzalez realizo una pregunta

Se requieren conocimientos previos para el curso de Javascript

en el curso se javascript se requieren conocimientos previos o se aprende desde lo basico hasta avanzado???



Ver todos comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
alrededor de 3 años

Hola, este curso empieza desde lo basico hasta lo avanzado y esta orienta a explotar vulnerabilidades XXS . Saludos


Completa tu perfil para poder comentar.


Marlon Baldovino realizo una pregunta

Que es el level y el risk

Hola a todos, ando con una duda que no se que son los risk y level estos que son utilizados en las inyecciones con SQLMAP, gracias.



Ver todos comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
alrededor de 3 años

El Risk es una medida que se usa al realizar el ataque, tiene 3 niveles.

1) Este valor es inofensivo para la mayoria de las inyecciónes SQL 2) Nivel usado para querys pesadas 3) Usa pruebas de inyección con la clausula OR de SQL

En el Level puedes parametrizar mas argumentos en las peticiones como las cookies


Completa tu perfil para poder comentar.