El documento presenta la herramienta Nipper, un toolkit de escaneo web desarrollado en Java que permite realizar pentesting desde dispositivos Android sin necesidad de acceso root. La herramienta incluye módulos para detección de CMS, escaneo de puertos, enumeración de usuarios y plugins, búsqueda de exploits, resolución de DNS y CloudFlare, e identificación del tema de WordPress. Se discuten las vulnerabilidades comunes en CMS como WordPress y los incidentes de seguridad recientes relacionados con ellos. Finalmente
2. Quien soy yo?
Juan David Castro
Investigador de Seguridad Informática
Desarrollador Web
Experto de Marketing Digital (SEO, SEM, Social Media)
Facebook: fb.com/dylan.Irzi
Twitter: @Dylan_Irzi11
Contacto:
dylan@websecuritydev.com
3. Agenda
Motivación
HackerPhone
Proyectos previos de herramientas de pentesting
La Herramienta: Nipper
CMS y sus Vulnerabilidades
Incidentes recientes
DEMO
Vectores de ataque con Nipper
Recomendaciones
Cooming Soon
4. Motivación
Pentesting desde Smartphone.
Falta de una herramienta Funcional
Primeramente la herramienta era privada.
8. Entonces previamente…
Existían diferentes herramientas:
- dSploit : Suite de pentesting de Red ( MiTM ,Port Scanner ,
RouterPWN )
- Shark for Root : Sniffer de Red
- DroidSheep: Sniffer de Red y Session Hijacking
- aWPScan : Escáner de vulnerabilidades de WordPress ( Not Root )
- WebSecurify : Escáner de vulnerabilidades web ( Proyecto no
disponible )
- Andosid : DDoS Attack Tools
Entre otros muchos proyectos
9. Todos con algo en común:
Limitante ?
Problema ?
Accesibilidad ?
11. Nipper : Toolkit Web Scan
Multiple ModulesMade in Java Not Root Access
From Pentester To Pentester, Nipper.
12. Nipper : Toolkit Web Scan
Listado de Módulos:
- IP Server
- CMS Detect & Version
- DNS Lookup
- Nmap ports IP SERVER
- Enumeration Users
- Enumeration Plugins
- Find Exploit Core CMS
- Find Exploit DB
- CloudFlare Resolver
- Identificación de Theme WP
- Detección de CMS Avanzado
27. Recomendaciones
Hardening CMS.
Alerta de Seguridad de su sistema de CMS.
Sistemas auto-penteting
Usar Web Application Firewall (WAF)
28. Cooming Soon
Incluir nuevos CMS.
Plugin para navegador Google Chrome.
Liberación de Versión para iOS.
Versión Web enlazada con App Android.
Entre otras nueva funcionalidades etc…