Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Automated and unified opensource web application testing

775 views

Published on

  • Be the first to comment

  • Be the first to like this

Automated and unified opensource web application testing

  1. 1. GoLismero 2.0
  2. 2. 2
  3. 3. ¿ Quienes hacemos GoLismero ? 3
  4. 4. ¿Qué es GoLismero? • Un framework crear herramientas • Unificador de herramientas • DRY (No reinventar la rueda) 4
  5. 5. ¿Qué NO es GoLismero? • Un agregador de resultados • Una herramienta estática • Algo complicado de usar 5
  6. 6. ¿Por qué usarlo? • Open Source • API bien documentado • Extensible fácilmente • Ha fácil lo difícil (OpenVAS). • Uso estándares: CVE, CWE… • Posibilidad de trabajar offline 6
  7. 7. ¿Qué hace y para qué sirve GoLismero? 7
  8. 8. Test de seguridad Plugins internos Otras herramientas 8
  9. 9. Retroalimentación (1) 9
  10. 10. Retroalimentación (2) 10
  11. 11. Fases Recon Cleanup Intrude Scan Attack 11
  12. 12. Modelo de datos (1) 1..N 0..N Recurso 1..N 0..N Información 0..N 0..N Vulnerabilidad 0..N 0..N 12
  13. 13. Modelo de datos (2) DNSCNAME dev.site.com site.com XSS cookie SQLi HTTP Request 13
  14. 14. 14
  15. 15. ¿Para qué le vale al auditor de seguridad? 15
  16. 16. Scripting rápido Scripts para el día a día en 4 pasos: Plantilla Tipo entrada Qué hacer? Run! 16
  17. 17. Unificar resultados 17
  18. 18. Presentación (1) 18
  19. 19. Presentación (2) • Unificar los resultados. • Pasar de hacker -> cliente Facilitar presentación de resultados 19
  20. 20. Presentación (3) 20
  21. 21. Fácil de usar Demos: • Listar parámetros • Configurar plugin • Parar y volver a arrancar una auditoría • Generar informes en HTML 21
  22. 22. ¿Qué es lo siguiente? 22
  23. 23. Nuevas herramientas • XSSer • W3af • Nmap plugins • Metasploit (Autopwn? ) •… 23
  24. 24. Informes • PDF • Docx • XML • JSON • Awk/grep 24
  25. 25. Interfaz • Servicio web • Rest-Full API • CLI 25
  26. 26. Mejoras • Filtrado de falsos positivos • Aplicación móvil • Detección de nuevas vulnerabilidades 26
  27. 27. Copia y colabora 27
  28. 28. ¿Preguntas? 28

×