SlideShare a Scribd company logo

Pentesting con android - Nipper Toolkit Web Scan

Dylan Irzi
Dylan Irzi

El documento presenta la herramienta Nipper, un toolkit de escaneo web desarrollado en Java que permite realizar pentesting desde dispositivos Android sin necesidad de acceso root. La herramienta incluye módulos para detección de CMS, escaneo de puertos, enumeración de usuarios y plugins, búsqueda de exploits, resolución de DNS y CloudFlare, e identificación del tema de WordPress. Se discuten las vulnerabilidades comunes en CMS como WordPress y los incidentes de seguridad recientes relacionados con ellos. Finalmente

Software
1 of 31
Download to read offline
Pentesting con Android NIPPER – TOOLKIT WEB SCAN
Quien soy yo? Juan David Castro Investigador de Seguridad Informática Desarrollador Web Experto de Marketing Digital (SEO, SEM, Social Media) Facebook: fb.com/dylan.Irzi Twitter: @Dylan_Irzi11 Contacto: dylan@websecuritydev.com
Agenda  Motivación  HackerPhone  Proyectos previos de herramientas de pentesting  La Herramienta: Nipper  CMS y sus Vulnerabilidades  Incidentes recientes  DEMO  Vectores de ataque con Nipper  Recomendaciones  Cooming Soon
Motivación  Pentesting desde Smartphone.  Falta de una herramienta Funcional  Primeramente la herramienta era privada.
Conociendo un poco… Cuota de uso De sistemas operativo (Smartphone)
Smartphone Hacking Pwn Phone Nexus 5 Rom Basado en Android Incluye Tools de Hacking
Teléfono Al Estilo Hollywood
Entonces previamente…  Existían diferentes herramientas:  - dSploit : Suite de pentesting de Red ( MiTM ,Port Scanner , RouterPWN )  - Shark for Root : Sniffer de Red  - DroidSheep: Sniffer de Red y Session Hijacking  - aWPScan : Escáner de vulnerabilidades de WordPress ( Not Root )  - WebSecurify : Escáner de vulnerabilidades web ( Proyecto no disponible )  - Andosid : DDoS Attack Tools  Entre otros muchos proyectos
Todos con algo en común: Limitante ? Problema ? Accesibilidad ?
La Tool Resolver Nipper
Nipper : Toolkit Web Scan Multiple ModulesMade in Java Not Root Access From Pentester To Pentester, Nipper.
Nipper : Toolkit Web Scan  Listado de Módulos:  - IP Server - CMS Detect & Version - DNS Lookup - Nmap ports IP SERVER - Enumeration Users - Enumeration Plugins - Find Exploit Core CMS - Find Exploit DB - CloudFlare Resolver - Identificación de Theme WP - Detección de CMS Avanzado
Por que CMS?
Uso de CMS en sitios webs
Vulnerabilidades CMS Fuente: http://es.slideshare.net/Imperva/cms-hacking-101
Especialmente WordPress Estudio del 2015 de BuiltWith
Vulnerabilidades Frecuentes 80% 3rt Party Vulnerability 20% Core CMS
Incidentes
Incidentes de Cyber Seguridad
Enfoque de Atacantes CMS Attack
Demo Demo en vivo
Vectores de Ataque 3 2 1
WordPress Vulnerability Base de datos de WPScan. Core, Plugin y Theme Vulnerability. Xmlrpc Attack DoS
Brute Force CMS ( Beta ) Ataque De fuerza bruta a CMS Anti-BruteForce Detection
Joomla Vulnerability Database Exploit List SQL Injection With SQLMapChik
Drupal Vulnerability Database Exploit List Xmlrpc Attack DoS
Recomendaciones  Hardening CMS.  Alerta de Seguridad de su sistema de CMS.  Sistemas auto-penteting  Usar Web Application Firewall (WAF)
Cooming Soon  Incluir nuevos CMS.  Plugin para navegador Google Chrome.  Liberación de Versión para iOS.  Versión Web enlazada con App Android.  Entre otras nueva funcionalidades etc…
Dudas o Preguntas?
GRACIAS HACK TO WORLD!
“ ” PRESENTACION VERSION NO FINAL Esta presentación puede estar sujeta a cambios y modificaciones, no representa la presentación final del evento.

Recommended

Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Spyware
SpywareSpyware
Spywareinfobran
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Eset smart sercurity_premium_10
Eset smart sercurity_premium_10Eset smart sercurity_premium_10
Eset smart sercurity_premium_10Julio Antonio Huaman Chuque
 
Top ten Antivirus
Top ten AntivirusTop ten Antivirus
Top ten Antivirusfovi96
 
Norton internet security
Norton internet securityNorton internet security
Norton internet securityCesarGomezDiaz
 

Recommended

Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Alonso Caballero
 
Spyware
SpywareSpyware
Spywareinfobran
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Dylan Irzi
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosimgh02
 
Eset smart sercurity_premium_10
Eset smart sercurity_premium_10Eset smart sercurity_premium_10
Eset smart sercurity_premium_10Julio Antonio Huaman Chuque
 
Top ten Antivirus
Top ten AntivirusTop ten Antivirus
Top ten Antivirusfovi96
 
Norton internet security
Norton internet securityNorton internet security
Norton internet securityCesarGomezDiaz
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
ESET Endpoint Solutions
ESET Endpoint SolutionsESET Endpoint Solutions
ESET Endpoint SolutionsESET Latinoamérica
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Spyware On-line De Panda
Spyware On-line De Panda Spyware On-line De Panda
Spyware On-line De Panda antibiruspc11
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
10 tipos de antivirus
10 tipos de antivirus10 tipos de antivirus
10 tipos de antivirusAle_Macias
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirusacevedovasquez
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirusacevedovasquez
 
Malware
Malware Malware
Malware javierholgueras
 
10 Tipos de Antivirus
10 Tipos de Antivirus10 Tipos de Antivirus
10 Tipos de AntivirusAnselmy Garcia
 
Presentación1
Presentación1Presentación1
Presentación1wiz03815
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaPamela Oliva
 
10 antivirus
10 antivirus10 antivirus
10 antivirusana_20015
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamela Oliva
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamelaOliva98
 
Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.Juana María Martínez Hernández
 
10 mejores antivirus 1a
10 mejores antivirus 1a10 mejores antivirus 1a
10 mejores antivirus 1aDany032599
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actKaren Zavala Gallardo
 
Trabajos de informatica
Trabajos de informaticaTrabajos de informatica
Trabajos de informatica'Maxim Troya'
 
[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on AndroidDEVCORE
 
Pentesting Android Apps
Pentesting Android AppsPentesting Android Apps
Pentesting Android AppsAbdelhamid Limami
 
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security WorkshopOWASP
 

More Related Content

What's hot

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Miguel de la Cruz
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPMoises Silva
 
Spyware On-line De Panda
Spyware On-line De Panda Spyware On-line De Panda
Spyware On-line De Panda antibiruspc11
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Andrés Gómez
 
10 tipos de antivirus
10 tipos de antivirus10 tipos de antivirus
10 tipos de antivirusAle_Macias
 
Presentación1
Presentación1Presentación1
Presentación1wiz03815
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaPamela Oliva
 
10 antivirus
10 antivirus10 antivirus
10 antivirusana_20015
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamela Oliva
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticosPamelaOliva98
 
10 mejores antivirus 1a
10 mejores antivirus 1a10 mejores antivirus 1a
10 mejores antivirus 1aDany032599
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actKaren Zavala Gallardo
 
Trabajos de informatica
Trabajos de informaticaTrabajos de informatica
Trabajos de informatica'Maxim Troya'
 

What's hot (19)

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
ESET Endpoint Solutions
ESET Endpoint SolutionsESET Endpoint Solutions
ESET Endpoint Solutions
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
Spyware On-line De Panda
Spyware On-line De Panda Spyware On-line De Panda
Spyware On-line De Panda
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
10 tipos de antivirus
10 tipos de antivirus10 tipos de antivirus
10 tipos de antivirus
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
 
Malware
Malware Malware
Malware
 
10 Tipos de Antivirus
10 Tipos de Antivirus10 Tipos de Antivirus
10 Tipos de Antivirus
 
Presentación1
Presentación1Presentación1
Presentación1
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela Oliva
 
10 antivirus
10 antivirus10 antivirus
10 antivirus
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
 
Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.
 
10 mejores antivirus 1a
10 mejores antivirus 1a10 mejores antivirus 1a
10 mejores antivirus 1a
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla act
 
Trabajos de informatica
Trabajos de informaticaTrabajos de informatica
Trabajos de informatica
 

Viewers also liked

[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on AndroidDEVCORE
 
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security WorkshopOWASP
 
Pentesting Android Applications
Pentesting Android ApplicationsPentesting Android Applications
Pentesting Android ApplicationsCláudio André
 
Deep Dive Into Android Security
Deep Dive Into Android SecurityDeep Dive Into Android Security
Deep Dive Into Android SecurityMarakana Inc.
 

Viewers also liked (6)

[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android
 
Pentesting Android Apps
Pentesting Android AppsPentesting Android Apps
Pentesting Android Apps
 
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop
 
Pentesting Android Applications
Pentesting Android ApplicationsPentesting Android Applications
Pentesting Android Applications
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
Deep Dive Into Android Security
Deep Dive Into Android SecurityDeep Dive Into Android Security
Deep Dive Into Android Security
 

Similar to Pentesting con android - Nipper Toolkit Web Scan

Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetraciónDavid Thomas
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalwareEventos Creativos
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Alonso Caballero
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebAlonso Caballero
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5UNAD
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillocampus party
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Adrián Lois
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebAlonso Caballero
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...Héctor López
 
Penetration testing
Penetration testingPenetration testing
Penetration testinggh02
 
Sbampato Vulnerabilidades Windows
Sbampato Vulnerabilidades WindowsSbampato Vulnerabilidades Windows
Sbampato Vulnerabilidades WindowsCristian Borghello
 

Similar to Pentesting con android - Nipper Toolkit Web Scan (20)

Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Apt malware
Apt malwareApt malware
Apt malware
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
 
Framework para pentesters
Framework para pentestersFramework para pentesters
Framework para pentesters
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Troyanos
TroyanosTroyanos
Troyanos
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Sbampato Vulnerabilidades Windows
Sbampato Vulnerabilidades WindowsSbampato Vulnerabilidades Windows
Sbampato Vulnerabilidades Windows
 

Pentesting con android - Nipper Toolkit Web Scan