Dashboard » Debates

Preguntas y respuestas para pentester


Profile Omar Jacobo Muñoz Veliz realizo una pregunta

Acabas de entrar en el ascensor con el CEO y te pregunta, ¿qué tan seguros estamos? ¿Qué dices?

Acabas de entrar en el ascensor con el CEO de la empresa te pregunta, ¿qué tan seguros estamos? ¿Qué dices?



Ver los 2 comentarios
Charly face José Guzmán ha comentado hace
más de 2 años

50% seguros y 50% no, todo depende de que tan resistente es el ascensor.


Yo carnet Daniel Augusto Monzón Pérez ha comentado hace
más de 2 años

Le responderia: se relaciona con los riesgos a los que estamos expuestos. :-)


Completa tu perfil para poder comentar.


12063705 10207273024561428 59106377850244238 n Felipe Barrios realizo una pregunta

Como subir archivos al servidor con comando SCP.

Hola tengo que verificar el sitio web con un archivo de google y tengo que subir un archivo al servidor de manera rapida, comparto el comando que utilizo, es muy practico y rapido:

scp google635ba5829001c3ec.html [email protected]:/home/deploy/bta_plataform/current/public/



Sé el primero en comentar

Completa tu perfil para poder comentar.


12063705 10207273024561428 59106377850244238 n Felipe Barrios realizo una pregunta

¿Que me recomiendan para automatizar la configuración de un servidor?

Hola estoy configurando una aplicación y necesito instalar una serie de servicios y configuraciones varias, que me recomiendan que no sea docker.



Ver los 2 comentarios
Charly face Valdemar L ha comentado hace
alrededor de 2 años

Hola, Todo es dependiendo de los requerimiento de tu app. dependiendo de las configuraciones que necesites, con un achivo en bash, que haga todas las configuracione necesarias, podrias ser suficien, Si lo que buscas es aprovisionamiento y despliegues, pues tambien ver si VAGRANT se adapta a lo que necesitas, lo primero que debes hacer, en estos casos es comprobar como punto principal que la versiones de los servicios que vas a utilizar, como por ejemplo: apache, nginx, version de php, mysql, etc. como dije al principio. todo depende de el tipo de apps que quieres configurar.

Saludos.


Charly face Elvooo Elvo ha comentado hace
4 meses

bueno bro te recomiendo primero investigar sobre el tipo de servidor que quieres fabricar y el tipo de codigo, la cosa es que debes estudiar mucho esto para que tu proyecto no acabe en la basura, que es lo que menos se desea, entiendes? yo en estos proyectos utilicé algunas cosas de https://posicionamiento-web-barcelona.com/barcelona/badalona/ y bien, pudo funcionar para mi proyecto, lo mejor es investigar, investigar y más investigación bro, eso hace a los campeones, un saludo!!


Completa tu perfil para poder comentar.


Charly face Raul Abad realizo una pregunta

Porque no me salen paquetes de capturacion ARP?

Al capturar el trafico de red no me muestra paquetes ARP eso porque puede ser es normal porque solo estaba capturando paquetes del modem



Ver todos comentarios
Charly face Arda ha comentado hace
más de 2 años

Depende de que tamaño de red estemos hablando, es posible ques si tu red es pequeña no tengas negociaciones ARP en el momento de la captura.

Saludos...


Completa tu perfil para poder comentar.


12063705 10207273024561428 59106377850244238 n Felipe Barrios realizo una pregunta

Comprimir y descomprimir .gz, .tar.gz, y .zip por linea de comandos en Linux

Archivos .tar.gz:
Comprimir: tar -czvf empaquetado.tar.gz /carpeta/a/empaquetar/
Descomprimir: tar -xzvf archivo.tar.gz

Archivos .tar:
Empaquetar: tar -cvf paquete.tar /dir/a/comprimir/
Desempaquetar: tar -xvf paquete.tar

Archivos .gz:
Comprimir: gzip -9 index.php
Descomprimir: gzip -d index.php.gz

Archivos .zip:
Comprimir: zip archivo.zip carpeta
Descomprimir: unzip archivo.zip



Ver todos comentarios
Charly face Leo Saldi ha comentado hace
más de 2 años

Excelente aporte, gracias. slds.


Completa tu perfil para poder comentar.


Tarjeta1 Elizabeth Morales realizo una pregunta

Software para administrar contraseñas

Hola comunidad, alguien conoce de alguna herramienta de gestión de contraseñas que permita: 1. Administrar las contraseñas que tiene como custodio. 2. Envíe notificaciones de expiración y cambio de contraseñas. 3. Almacenar la base de datos de las contraseñas de las personas que tienen como custodio en un solo "repositorio" La opción que he revisado es administrar las contraseñas ya se con KeePassXC, password1 almacenarlas en dropbox, onedrive y notificarlas a través de la encripción de correo pero ese mecanismo lo veo manual, no sé si alguien me puede recomendar alguna opción mejor?



Ver los 3 comentarios
Charly face Valdemar L ha comentado hace
alrededor de 2 años

Hola, Te recomiendo que le des una mira a passwordStore https://www.passwordstore.org tiene muchas caracteristicas importantes como por ejemplo, cifrado con GPG. Tiene una particularidad que puedes tener almacenado en un repo GIT con una capa de seguridad adicional como tu llaveSSH, tiene un cliente para android con el cual puedes tener sincronizado perfectamente con tu repositorio para usar en cualquier parte, solo tienes que guardar un GPG en el cliente del celular. entre otra muchas otra caracteristica interesante, si ya tienes tus password en algun gestor, tambien en la pagina hay agunos scripts para migrar a passwordStore.

Espero que te sirva, saludo.


Foto lara perfil Jose R Lara ha comentado hace
casi 2 años

Tambien coincido con Omar y Lastpass, he tenido muy buena experiencia con este.

saludos,


Completa tu perfil para poder comentar.


Charly face Fernando Conislla realizo una pregunta

Sistema operativo para hacking a dispositivos móviles

¿Cual es la mejor versi+on de iOS para realizar hacking de aplicaciones movil?

¿Que tan necesario es un Mac como complemento a este dispositivo para este proposito?

Me gustaria saber de sus experiencias al respecto.



Ver los 3 comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Este articulo es de Santoku para pruebas a dispositivos moviles https://backtrackacademy.com/articulo/como-instalando-santaku cuenta con varias herramientas preinstaladas y un emulador pero en lo personal te recomiendo este https://github.com/sh4hin/Androl4b ya que el emulador tiene instalado xposed y rooteado por defecto.


Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Tenemos pendientes unos articulos de analisis de malware en Ios y android por ahora tenemos este https://backtrackacademy.com/articulo/analisis-de-malware-en-aplicaciones-android


Completa tu perfil para poder comentar.


Charly face David Guadalupe Hernandez Gomez realizo una pregunta

Agregar nuevos Auxiliares o exploits a Metasploit

Buenas noches He creado 2 Auxiliares y los he escrito y salvado con nano en Kali linux. El problema que tengo es que metaploit no los reconoce me podrian dar algun tip para checar posibles causas por las que no lo reconcoe. sludos



Ver los 3 comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Existe una carpeta donde debes ingresarlos, creo que metasploit tiene un servicio que chequea la integridad de estos y permite su ejecucion luego debes recargar metasploit para que tome los cambios. Saludos



Completa tu perfil para poder comentar.


Charly face Sergio Pc realizo una pregunta

Como proteger mi código con Criptografia

¡Saludos para toda la comunidad de BackTrack Academy! Me llama la atención el tema relacionado con la criptología, desde como crear un programa que logre proteger código, como que consiga romperlo. ¿Cómo se puede crear código para criptoanálisis? es decir, ¿cómo se puede codificar para "desencriptar" fragmentos de texto, conjuntos de caracteres, conjuntos numéricos, etc...?



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Hola, cada lenguaje tiene sus librerias de cifrado entre las populares esta el algoritmo SHA512 y bcrypt que son muy usados para almacenar contraseñas tambien se usa algo llamado salt, para información que va tener reverso se puede usar el algoritmo AES. Antes era muy usado el algoritmo md5 y SHA1 pero estos son muy vulnerables a ataques. Saludos


Completa tu perfil para poder comentar.


Charly face Sergio Pc realizo una pregunta

Problema al auditar un router con WPS y reaver

¡Saludos para toda la comunidad de BackTrack Academy!

¿ A alguien le pasa que al utilizar reaver para auditar un router que tiene WPS solo intenta con 12345670?, ¿cómo se puede solucionar esto?

Gracias.



Sé el primero en comentar

Completa tu perfil para poder comentar.


Yop Leidy Flores realizo una pregunta

Como instalar el ossec agent en un servidor linux

¿ Como puedo instalar el ossec agent en un servidor linux para que pueda ser reconocido por el ossec-server que tiene OSSIM?



Ver todos comentarios
12063705 10207273024561428 59106377850244238 n Felipe Barrios ha comentado hace
más de 2 años

Segun la documentación:


# Add Apt sources.lst
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash

# Update apt data
sudo apt-get update

# Server
sudo apt-get install ossec-hids-server

# Agent
sudo apt-get install ossec-hids-agent


Completa tu perfil para poder comentar.


Charly face Luis I realizo una pregunta

¿Que aplicación usar para ver los servicios activos en una recopilación de información?

Hola. En uno de sus videos de recopilación de información, comenta una aplicación, en la que poniendo el nombre del DNS, te da una serie de datos de los mismos, incluyendo los servicios activos que ofrece el hosting, Recuerdo que daba los datos con el encabezamiento en verde, pero ahora haciendo repaso del curso, no logro encontrarla. He probado con Whois ip, Domains tools, Ripe, pero ninguna me coincide. ¿Me podría decir cual es? Muchas gracias y un saludo.



Ver los 2 comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Hola, talvez fue en alguna version de la herramienta y en una actualización la removieron, que datos incluia este encabezado que comentas?


Charly face Matias Arriagada ha comentado hace
más de 2 años

quizas hablas de esta: https://mxtoolbox.com/


Completa tu perfil para poder comentar.


Charly face Wall Blue realizo una pregunta

Cual es el mejor sistema operativo para hacking?

Cúal es el mejor sistema operativo para hacer hacking.



Ver los 4 comentarios
Charly face Harom Ramos ha comentado hace
más de 2 años

El mejor sera con el que te sientas comodo y te brinde la mayor experiencia, en mi caso utilizo Fedora Security Labs.


Yo carnet Daniel Augusto Monzón Pérez ha comentado hace
más de 2 años

Me ha funcionado muy bien kali Linux, ahora si deseas una herramienta facil de utilizar, aunque algo costosa, te recomendaria Nessus para el caso de las redes y Accunetix para Web.

Saludos.


Completa tu perfil para poder comentar.


Charly face Arda realizo una pregunta

Justificar el uso de IPS dentro de la red

Buen día.

Alguien tendra información de como justificar la utilización de un IPS dentro de la infraestructura de red.

Gracias.....



Ver los 3 comentarios
Charly face Arda ha comentado hace
más de 2 años

Gracias por la respuesta, estuve investigando y logre justificarlo ya que el Firewall solo es una medida de control para acceso a la red y el IPS monitorea la actividad de la misma.


Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Listo, gracias por comentar tu respuesta de seguro le va servir a alguien mas. Saludos


Completa tu perfil para poder comentar.


Charly face Jonathan Hernandez Pegueros realizo una pregunta

Maquinas virtuales aparte de virtualbox

Dónde obtengo un simulador, o un software de virtualización? VirtualBox de Oracle no ejecuta en mi equipo VAIO Windows 32 bits, Intel Pentium, 2GB RAM, 500 GB H.D



Ver los 2 comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Mmm por el procesador esta un poco dificil, prueba con vmware.


41473879 681300015589328 2914457510192611328 n Rafael Peru Crackers ha comentado hace
más de 2 años

El Virtual Box se diseño para equipos con menos recuersos son mas ligeros, pero en verdad esta dificil, ademas que Sistema deseas instalar en tu Maquina Virtuales.


Completa tu perfil para poder comentar.


Cyber hacking Salvador Alexander Escamilla Ponce realizo una pregunta

Nueva red Meganet - Kim dotcom

Que piensas tu acerca de la nueva red meganet que lanzara kim dotcom, crees que les quitara el trabajo a los expertos en seguridad informatica?

https://www.genbeta.com/actualidad/meganet-asi-es-el-internet-alternativo-que-propone-kim-dotcom



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

El uso que le puede dar con el blockchain lo veo bien, lo dificil esta en que los dispositivos moviles tienen que soportar toda la carga del sistema, aplicaciones y servicios ejecutandose por lo que soportar un proceso como el mantener un nodo lo veo dificil, si se usa una gran cantidad de cifrado requiere un gran procesamiento algo que un movil no puede hacer tan menudo como una computadora. Lo siguiente es que el espionaje dudo que desaparezca ya que cada peticion en un nodo ha de tener un origen y un destino por lo que sera cuestion de tiempo el encontrar alguna vulnerabilidad ya sea en cifrado o comunicacion. Es un sueño muy futurista que necesita mucho trabajo y del que dudo que quite el trabajo a los expertos en seguridad informatica. Saludos


Completa tu perfil para poder comentar.


Asdasd Mayu Mechan realizo una pregunta

Cuando obtienes tu primer certificado de Backtrackacademy

Hola ^^

yo se que no es una pregunta pero hice un video que se llama: quando tienes tu primer certificado en Backtrackacademy. Es solo un pequeño chiste para la Communidad de BTA. ;) Ojala les guste ^^

youtube link: https://www.youtube.com/watch?v=Zg6_O3rMYPs&feature=youtu.be



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Lo he compartido en la fan page de Facebook


Completa tu perfil para poder comentar.


Thrall Vicente Cevallos realizo una pregunta

¿Cuánto debo cobrar por una auditoria?

Soy consciente que hay Auditorias complejas y otras un poco sencillas, pero ¿como puedo determinar el precio entre ellas? para indicarle a mi cliente final.



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Hola, conversando con Misa me comento los siguientes puntos.

Lo primero es definir, ¿qué tipo de auditoría? No es lo mismo una auditoría de una aplicación web, un servidor, un sistema inalámbrico e incluso puede haber granjas de servidores o clusters. Aún así no es lo mismo un análisis de vulnerabilidades a una prueba de penetracion.

Lo segundo es definir el alcance, caja blanca, caja gris o negra. Recuerda que las actividades son distintas y requieren más tiempo.

En el caso de los aplicativos hay que preguntar cuantas pantallas tiene el sistema y sobre de eso se hace la evaluación.

Si el proyecto es muy grande se puede cobrar por hora.

Los consultores junior cobran un promedio menor que uno senior.

El costo dependerá del tipo de sistema, la caja y el tiempo definido


Completa tu perfil para poder comentar.


Charly face Marc N realizo una pregunta

Con que curso comenzar en el pentesting?

Hola, yo no se casi nada sobre ciberseguridad i hacking. Que curso me recomenderias hacer?

Gracias



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Podrias iniciar con el curso de https://backtrackacademy.com/curso/enterprise-pentesting para tomar idea de lo que es el pentesting y un buen curso de linux https://backtrackacademy.com/curso/iniciando-gnu-linux :) saludos


Completa tu perfil para poder comentar.


Charly face Ivan Di Nunzio realizo una pregunta

Problema con Burp Suite al configurarlo con el navegador firefox

Luego de configurar burp suite y el navegador (firefox) como lo indica en el video, el navegador no abre la pagina o me dice que el sitio no es seguro...lo hago tal como lo explica en el video pero no obtengo el mismo resultado...



Ver los 5 comentarios

Charly face Ivan Di Nunzio ha comentado hace
alrededor de 2 años

un link muy interesante!! gracias!!!


Completa tu perfil para poder comentar.