Dashboard » Debates » Pentesting a Aplicaciones Web

Preguntas y Respuestas sobre Pentesting a Aplicaciones Web


Charly face Odalis Guzmán realizo una pregunta

¿Cómo puedo explotar una vulnerabilidad, por ejemplo CVE-XXXXX?

¿Cómo puedo explotar una vulnerabilidad, por ejemplo CVE-XXXXX?



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
5 meses

Hola Odalis, en algunos casos en los papers o informacion de la vulnerabilidad se dan detalles acerca de esta y como repararla, en ocasiones puedes buscar el CVE y encontrar el exploit para intentar atacarla, desde metasploit existe una opcion que permite realizar esto. Saludos


Completa tu perfil para poder comentar.


Eticalhacker J Garcia realizo una pregunta

Instalación de module paramiko en kali linux

Hola, espero este muy.Tengo problemas en la ejecución del script, sale un error en cuando se ejecuta.dice: Traceback (most recent call last): File "./ssh_bruteforce.py", line 3, in import paramikoImportError: No module named paramiko. He intentado instalar la paramiko con pip3 install paramiko y nada. Como puedo solucionar este error

Muchas gracias por su aporte



Ver los 2 comentarios
Whatsapp image 2018 03 06 at 9.28.09 pm Omar Gudiño ha comentado hace
3 meses

Hola como estas?, eso es debido a que antes de ejecutarlo deberas instalar este modulo puedes hacerlo con pip dependiendo de la version de python utilizada y en la que esta desarrollada la herramienta.


Whatsapp image 2018 03 06 at 9.28.09 pm Omar Gudiño ha comentado hace
3 meses

El comando deberia ser algo como "pip install paramiko", debes tomar en cuenta que el comando pip puede cambiar si usas python3 y el codigo esta hecho en python3, en tal caso seria "pip3 install paramiko". Antes de instalar valida en que version esta hecho el codigo y seguido valida la version del interprete que tienes instalado, ya que si el codigo esta en python3 y le instalaste paramiko en python2, te indicara que no esta el modulo disponible


Completa tu perfil para poder comentar.


Charly face David Elías Mayorga Velásquez realizo una pregunta

Spider en BurpSuite

Hola, como inserta la opcion de spider en el burpsuite de kali linux

Denmen una guía por favor, ya que no he encontrado como hacer.

Saludos Cordiales.



Ver todos comentarios
Whatsapp image 2018 03 06 at 9.28.09 pm Omar Gudiño ha comentado hace
3 meses

Spider automatizado no esta disponible en Burpsuite community solo te permite la auditoria manual, para este tipo de técnicas te recomiendo hacer uso de zaproxy


Completa tu perfil para poder comentar.


Charly face Fernando Pereyra realizo una pregunta

Identificando metodos en nmap con http-options.nse

Hola profe, el primer comando me funciona bien, surge del analisis que acepta metodo GET POST OPTIONS Y HEAD. Al probar con cada metodo en particular. Me arroja este resultado siempre.

NSE: failed to initialize the script engine: /usr/bin/../share/nmap/nsemain.lua:823: 'http-options.nse' did not match a category, filename, or directory stack traceback: [C]: in function 'error' /usr/bin/../share/nmap/nsemain.lua:823: in local 'getchosenscripts' /usr/bin/../share/nmap/nse_main.lua:1315: in main chunk [C]: in ?

cual es el problema? saludos.



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
alrededor de 1 año

Hola, pareciera ser que nmap no lo encuentra en el listado de scripts, en que sistema lo estas ejecutando, puedes probar ejecutandolo desde esta carpeta

> cd /usr/share/nmap/scripts

O ejecutando el siguiente comando

> --script-updatedb


Completa tu perfil para poder comentar.


Charly face Cesar Rojas realizo una pregunta

Que IP se coloca al hacer un ataque de ingeniería social

En el curso de de hacking para andoid en el video 3.- ingenieria social, que IP es la que se esta, colocando la del equipo de kali ?



Ver los 2 comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 1 año

Hola Cesar, seria la IP privada del equipo para que lo puedas usar en la red, si lo quieres usar para todo internet tienes que poner la IP publica.

Saludos


Tarjeta1 Elizabeth Morales ha comentado hace
alrededor de 1 año

IP pública desde afuera, Ip privada desde dentro de la red.


Completa tu perfil para poder comentar.


Hackerone Ing. Daniel Ricardo Torres Torres realizo una pregunta

NIVEL AVANZADO WEB PENTESTING??

Misael buenas noches. Actualmente estoy desarrollando el curso de WEB PENETRATION TESTING ó HACKING WEB. He aprendido mucho y me doy cuenta que allí nos enseñas a explorar y detectar posibles fallos, pero quisiera saber si existe un nivel avanzado de este curso en donde podamos aprender a explotar errores y vulnerabilidades comunes en los programas de BUG BOUNTY??

Dios te bendiga.



Ver todos comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
casi 2 años

Hola, actualmente estamos trabajando en este nuevo nivel. Saludos


Completa tu perfil para poder comentar.


12063705 10207273024561428 59106377850244238 n Felipe Barrios realizo una pregunta

¿Como calcular el precio de una vulnerabilidad critica/media/baja?

Hola necesito calcular el precio de una vulnerabilidad, acorde al riesgo. Algun consejo o experiencia?



Ver los 2 comentarios
Gatorison Cannibal . ha comentado hace
alrededor de 2 años

En relacion a cuanto se cobraria por arreglar una? Mucho tiene que ver con el impacto sobre el negocio, es dificil ponerle un valor - hay mucho de criterio de los "sales men"


12063705 10207273024561428 59106377850244238 n Felipe Barrios ha comentado hace
alrededor de 2 años

Pero existe alguna formula, que me permita realizar el calculo?


Completa tu perfil para poder comentar.


12063705 10207273024561428 59106377850244238 n Felipe Barrios realizo una pregunta

¿Algunas opiniones acerca del scanner web arachni ?

Hola comunidad 👋, estoy haciendo un pequeño proyecto y estaba en la búsquedas de scanner de vulnerabilidades Web, probé un montón(Acunetix, Owasp Zap, Netsparker, burp suite), no me gustaron muchos ya que algunos son de pagos y otros hacen pruebas que no me convencen mucho como nikto, pero me gusto arachni, ustedes tienen alguna referencia o experiencia que pudieran compartir de arachni u otra herramienta enfocado a web, desde ya muchas gracias y saludos.

http://www.arachni-scanner.com/



Ver todos comentarios
30605497 1558371040952879 2657181062127419392 n Phryam Ne ha comentado hace
más de 2 años

No tengo una respuesta a tu pregunta pero quisiera que me digas algunos veneficios sobre aranchii, yo tambien estoy buscando un scanner. Saludos


Completa tu perfil para poder comentar.


Domenico Domenico Delvalle realizo una pregunta

Fuerza bruta en pagina de phpmyadmin

como se puede hacer un ataque de fuerza bruta en una pagina de phpadmin no donde las credenciales son ingresadas en una especie de popup? imagen: https://imgur.com/a/KuV4A



Ver los 2 comentarios
Gatorison Cannibal . ha comentado hace
más de 2 años

Hola, eso se ve como simple Basic Authentication (Authenticacion basica), lo cual seria mas que simple utilizando herramientas como Hydra, Potato si quieres hacerlo online el ataque. Es caso sea un Web Form la autentication, se complica un poco mas pero aun posible usando las mismas herramientas. Yo en lo personal iria con hydra que la sitaxis es menos engorrosa, mirate la ayuda o busca algunos ejemplos para entender como escribir tu linea de ataque. Tambien utiliza web proxies para ver el trafico entre tu y el servidor asi entiendes bien que esta pasando detras.

Exitos.


Gatorison Cannibal . ha comentado hace
más de 2 años

Perdon, quise decir autenticacion basica entre parentesis.


Completa tu perfil para poder comentar.


Charly face Carlos A. Pedetta Loto realizo una pregunta

Que es el Level y el Risk en SQLMAP

He visto que en el SQLMAP (como tambien en otras suites de SQLi) utilizan un parametro en la configuracion que es Level y Risk y lo valuan del 1 al 3... que significa eso y en que afecta a la configuracion...

Digo, en que cambia poner un Leve=1 y Risk=3... o Level 3 y Risk=2...

Espero haber formado bien la pregunta ya que en verdad no entiendo que significa y para que sirve dichos parametros.

Muchas Gracias!



Ver los 3 comentarios
Profile Omar Jacobo Muñoz Veliz ha comentado hace
más de 2 años

Puedes obtener mas información en https://github.com/sqlmapproject/sqlmap/wiki/Usage


Charly face Carlos A. Pedetta Loto ha comentado hace
más de 2 años

Muchas Gracias!


Completa tu perfil para poder comentar.