Webminar Gratuito "Herramientas para encontrar Vulnerabilidades con Motores de Búsqueda"

2,266 views

Published on

Diapositivas del Webminar Gratuito "Herramientas para encontrar Vulnerabilidades con Motores de Búsqueda"

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,266
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Webminar Gratuito "Herramientas para encontrar Vulnerabilidades con Motores de Búsqueda"

  1. 1. Webminar “Herramientas para encontrar Vulnerabilidades con Motores de Búsqueda” Alonso Eduardo Caballero Quezada Consultor de NPROS Perú S.A.C. Sitio Web: http://www.npros.com.pe Correo electrónico: cursos@npros.com.pe Correo personal: reydes@gmail.com
  2. 2. Sobre NPROS Perú SACNetwork Professional Security Perú - NPROS Perú S.A.C se creó en Enerodel año 2008 para ofrecer servicios de capacitación especializada en Perú yorientarse en el dictado de cursos de Seguridad en Tecnologías de laInformación.Tenemos cuatro años de experiencia en el dictado de cursos a diferentesinstituciones y empresas tanto públicas como privadas, como por ejemplo:Universidades, Sector Financiero: Bancos, Cajas; Sector Gobierno yMunicipios, entre otras instituciones del sector privado y público. CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  3. 3. Servicios NPROS PerúCursos:Modalidades: Presencial (Lima, Trujillo) & Online (Virtual).Duración: 20 Horas- Curso de Hacking Ético (CNHE).- Curso de Cómputo Forense (CNCF).- Curso de Hacking Aplicaciones Web (CNHAW).- Otros cursos: Hacking Windows, Hacking GNU/Linux, Antiforense.Webminars:Modalidad: Online (Virtual)Duración: De 3 a 4 horasWebcasts: Gratuitos. Duración 1 Hora.Otros Servicios:- Análisis de Vulnerabilidades.- Pruebas de Penetración.- Análisis Forense de Computadoras. CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  4. 4. Contacto NPROS PerúCorreo electrónico: cursos@npros.com.peTeléfono: 948351218Página Web:http://www.npros.com.peTwitter:http://twitter.com/#!/NPROSPeruFaceBook:http://www.facebook.com/pages/NPROS-Per%C3%BA/215242575183641LinkedIn:http://pe.linkedin.com/pub/npros-per%C3%BA-sac/37/235/3a5 CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  5. 5. Curso de Hacking Ético (CNHE) 2012Descripción:Las vulnerabilidades en seguridad, tales como configuraciones inadecuadas,sistemas sin parches, arquitecturas inadecuadas, continúan plagando lasorganizaciones.Las empresas necesitan personas que encuentren estas fallas de maneraprofesional, para ayudar a erradicarlas de la infraestructura tecnológica.Algunas personas pueden tener habilidades en Pruebas de Penetración,Hacking Ético o Evaluaciones de Seguridad, pero pocas personas aplicanestas habilidades con un régimen metódico de evaluaciones profesionalespara ayudar incrementar la seguridad en las organizaciones.Este curso enseña a los participantes la manera de realizar Pruebas dePenetración satisfactorias para mejorar la postura de seguridad de lasempresas CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  6. 6. Curso de Hacking Ético (CNHE) 2012Objetivo:Los participantes aprenderán a realizar un reconocimiento detallado,aprenderán sobre infraestructura del objetivo, mediante investigación enblogs, buscadores, y redes sociales.Luego se enfocará la atención en la fase de escaneo, experimentando convarias herramientas aplicados a ejercicios prácticos. La fase de explotaciónincluirá la utilización de Frameworks de explotación, exploits manuales yotras tácticas valiosas, todo realizado con ejercicios prácticos en un entornode laboratorio controlado. El curso también mostrará como preparar unreporte ejecutivo.El curso incluye ejercicios prácticos para realizar una prueba de penetracióncontra una organización objetivo, siguiendo todos las fases detalladas. CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  7. 7. Curso de Hacking Ético (CNHE) 2012Dirigido a:- Profesionales en Seguridad de la Información- Administradores de Tecnologías de Información- Auditores que necesiten profundizar conocimientos técnicos- Profesionales en Pruebas de Penetración y Hacking Ético- Estudiantes de Informática, Sistemas, carreras afines y público en generalIncluye:- 2 (Dos) DVDs conteniendo: Máquina Virtual de BackTrack 5 R2 y MáquinasVirtuales para ejercicios (Windows & GNU/Linux). Diapositivas del Curso,Herramientas, Ejercicios, Laboratorios y Documentos de Referencia.- 1 (Una) Carpeta conteniendo: Diapositivas y Ejercicios impresos, Bloc denotas y Lapicero. CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  8. 8. Curso de Hacking Ético (CNHE) 2012La programación de cursospara el año 2012 se harealizado para los trescursos emblemáticos deNPROS Perú.- Curso de Hacking Ético- Curso de Hacking AplicacionesWeb- Curso de Cómputo ForensePuede obtener más informaciónvisitando nuestro sitio web:http://www.npros.com.peO descargando el archivo PDFcorrespondiente a cada curso. CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  9. 9. Herramientas para EncontrarVulnerabilidades en motores de búsquedaLuego de haber definido las reglas del contrato, el alcance del proyecto, ylos temas legales.Se realizaron búsquedas de sitios webs, Consultas Whois, a losregistradores, ASN, y demás información relacionada.También se realizaron búsquedas DNS, utilizando, nslookup, dig, y otrasherramientas.Nuestro siguiente paso es utilizar la motores de búsqueda que pueden seraccedidos públicamente para observar signos de sistemas vulnerables.Buscadores como Google, Bing, Yahoo contienen información que podríaindicar la presencia de vulnerabilidades en sistemas relacionados con elentorno del objetivo.Si se envían consultas adecuadas a los motores de búsqueda, podríamosidentificar sistemas vulnerables sin enviar ningún paquete a estos sistemasde manera directa. CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  10. 10. Directivas útiles para búsquedas enGoogleLas búsquedas realizadas con Google no son sensibles Mayúsculas.site: site:www.npros.com.pe bloglink: link:www.npros.com.perelated: related:npros.com.peintitle: intitle:“index of hacking”inurl: inurl:intranet.phpallintext: allintext:error connect site:edu.peallintitle: allintitle:ingreso intranet site:.peallinurl: allinurl:hacking tools CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  11. 11. Buscando por Tipos de ArchivosGoogle permite buscar cientos de diferentes tipos específicos de archivos.Por ejemplo:.pdf, .doc, xls, .ppt, .txt, .bak, .sql,.php, jsp, asp, etc.Es posible encontrar archivos .pdf, o también archivo xls, los cuales estánasociados a hojas de cálculo de MS Excel. También es factible encontrararchivos .ppt de presentación de MS Power Point.Para realizar estas búsquedas se puede utilizar la directiva filetype:filetype:npros.com.pe filetype:pdfSe pueden obtener no solamente los archivos pdf, también las páginas websque incluyen el texto pdf.filetype:npros.com.pe pdf CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  12. 12. Operadores de Búsqueda en GoogleSe debe tener en consideración que las búsquedas en Google no sonsensibles a mayúsculas.Para realizar búsquedas literales se debe utilizar las comillas dobles “ “.“network professional security peru”.Para filtrar paginas con información que no se desea se utiliza el signo (-)para evitar esos terminos.site: site:fap.mil.pe -www.fap.mil.pePara “obligar” a Google a buscar palabras comunes que son omitidas pordefecto se debe utilizar el signo (+). a, and, the. El signo (+) también seutiliza para incluir de manera obligatoria una termino en la búsqueda.+hacking +forensicsHancking forensics CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  13. 13. Otros Operadores de Búsqueda en GoogleEl signo de puntuación (.) es un comodín para un caracter.index.of hackingEl doble punto (..) significa un rango.exploit 2010..2012Los operador OR y el signo (|) tienen un significado idéntico, encontrar untermino A o B o ambos.hacking OR forensicshacking | forensicsEl operador en minúsculas (or) es un término de búsqueda.security or privacy CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  14. 14. Defectos a Descubrir mediante GoogleEn internet existen dos páginas principales donde se mantienen listados debúsquedas que permiten encontrar sistemas vulnerables. A las búsquedasindividuales se le denomina un GoogleDork.Existen miles de diferentes búsquedas en estas Bases de Datos quepermiten encontrar varios tipos de defectos de seguridad y temasrelacionados, todas ellas utilizando únicamente Google.- Advisories and Vulnerabilities- Error Messages- Files containing juicy info- Files containing passwords- Footholds- Pages containinf login portalesetc...http://www.hackersforcharity.org/ghdb/http://www.exploit-db.com/google-dorks/ CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  15. 15. Algunos Ejemplos InteresantesSolo con propósito educativos.site:pe inurl:phpinfoLocates SquirrelMail Login Pagessite:pe inurl:src/login.phpThis searches for the install.php file.site:pe inurl:install.phpLooks for SQL dumps containing cleartext or encrypted passwordssite:pe filetype:sql "insert into" (pass|passwd|password)These are squid server cache reports.site:pe inurl:Squid Analysis Report GeneratorApache Tomcat Error messages.site:pe intitle:"Apache Tomcat" "Error Report" CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  16. 16. Herramients para Escanear utilizandoGHDBSiteDigger v3.0SiteDigger 3.0 realiza búsquedas en Google para encontrarvulnerabilidades, errores, configuraciones, información privada, y otrainformación de interés en los sitios webs.Sitio Web:http://www.mcafee.com/us/downloads/free-tools/sitedigger.aspxGooScanGooScan es una herramienta que automatiza las consultas contra elbuscador de Google. Estas consultas están diseñadas para encontrarpotenciales vulnerabilidades en las páginas webs. Es como un Escannerque nunca se comunica directamente con el servidor web objetivo, ya quetodas las consultas son respondidas por Google, no por el objetivo.Sitio Web: http://www.hackersforcharity.org/ghdb CNHE - 2012 :: Network Professional Security Perú - NPROS Perú SAC :: e-mail: cursos@npros.com.pe :: Sitio web: http://www.npros.com.pe
  17. 17. ¡Gracias! “Herramientas para encontrar Vulnerabilidades con Motores de Búsqueda” Alonso Eduardo Caballero Quezada Consultor de NPROS Perú S.A.C. Sitio Web: http://www.npros.com.pe Correo electrónico: cursos@npros.com.pe Correo personal: reydes@gmail.com

×