Demostración en vídeo de éste post:
En el post anterior he mencionado 5 de las herramientas que componen este listado y a continuación, mencionaré 5 más que en mi opinión, son básicas para realizar pentesting web.
No son pocas las ocasiones en las que es necesario auditar aplicaciones web que han sido creadas con algún CMS y sin duda, WordPress es uno de los más difundidos. Esto se debe probablemente a que es fácil de utilizar, cuenta con miles de complementos para prácticamente lo que se te ocurra y además, cuenta con características que son deseables para cualquier aplicación en Internet: facilidades para SEO, buena velocidad de carga (cuando está bien configurado), amplio soporte por parte de hostings, etc. No obstante, esto también significa que es un producto sobre el que los atacantes han puesto su atención y prácticamente en todas las versiones del «core» de WordPress, se han identificado vulnerabilidades de todo tipo, eso sin contar con los defectos que se encuentran disponibles en los plugins desarrollados por terceros. Todo ello hace que en ocasiones, la configuración y securización de WordPress sea un reto. En este sentido, la herramienta WPScan ha sido diseñada con el objetivo de detectar vulnerabilidades conocidas sobre una instalación concreta de WordPress. Es capaz de enumerar los plugins instalados, enumerar usuarios por defecto, detectar la versión de WordPress en ejecución y las vulnerabilidades conocidas asociadas a dicha versión, detecta características inseguras de una instalación, etc.
Sitio web: https://wpscan.com/wordpress-security-scanner
Es una herramienta muy completa que integra cientos de utilidades para pentesting web y pentesting en entornos de red. Aunque lleva algún tiempo sin recibir actualizaciones, aún funciona muy bien y su arquitectura es ideal para ejecutar pruebas con un conjunto de herramientas previamente preparadas. La «pega» que tiene es que precisamente por incluir tantas herramientas es muy pesada y la instalación puede ser compleja, afortunadamente la aplicación está «dockerizada» y ésto ayuda a que su despliegue y uso sea muy rápido. Si quieres saber cómo utilizar esta herramienta, he escrito un par de post hace algún tiempo en éste blog y es posible que te puedan interesar:
Herramientas de pentesting interesantes: Jok3r parte 1
Herramientas de pentesting interesantes: Jok3r parte 2
Es otra herramienta de la que ya se ha hablado en este blog y destaca por su simplicidad de uso y no producir falsos positivos, lo cual se consigue gracias a un enfoque semiautomático, en donde es necesario crear plantillas en formato YAML especificando la manera de ejecutar las peticiones HTTP sobre un objetivo. La herramienta simplemente se encarga de interpretar y ejecutar las peticiones que se indique en dichas plantillas, por ese motivo es más sencillo evitar los FP, ya que es el pentester el que debe indicar los patrones para que la herramienta pueda determinar si se produce vulnerabilidad, defecto o fuga de información.
Descubre Nuclei: Herramienta automatizada y personalizable para pentesters y bug bounty hunters
Es una herramienta sencilla y fácil de utilizar, que si bien no está orientada a la detección o explotación de vulnerabilidades web, sí que pretende detectar fugas de información mediante un proceso de crawling que se puede ejecutar en múltiples hilos, lo que hace que el proceso sea muy rápido. Es una herramienta habitual en las primeras etapas de recolección y OSINT sobre un sitio web y dadas sus características, es una buena opción cuando se empieza con el análisis de una aplicación web expuesta en Internet.
Sitio web: https://github.com/s0md3v/Photon
DirBuster es una de las herramientas más comunes cuando se trata de enumerar un servidor web por medio de «fuerza bruta», en donde se intenta detectar qué recursos se encuentran disponibles en el servidor. Es un proyecto de OWASP y lleva ya unos cuantos años, pero funciona bastante bien y es altamente configurable. Por otro lado FuzzDB es un recurso que cualquier pentester puede utilizar a la hora de hacer procesos de Fuzzing, ejecutar fuerza bruta o simplemente, desplegar una webshell en un servidor vulnerable. No es una herramienta como tal, pero cuenta con varios ficheros y recursos que se utilizan en proyectos tan conocidos como ZAP.
Sitio web de DirBuster: https://sourceforge.net/projects/dirbuster/files/DirBuster%20Source/1.0-RC1/
Sitio web de FuzzDB: https://github.com/fuzzdb-project/fuzzdb
Espero que este listado te haya parecido interesante, en cualquier caso puedes dejar un comentario si consideras que hay alguna otra herramienta que merece la pena incluir.
Un saludo y Happy Hack!
Adastra.
