Archivo

Posts Tagged ‘fase fingerprinting’

Conceptos Básicos y Avanzados de SET (Social Engineer Toolkit) – Web Attack Vectors – Parte IV

septiembre 19, 2011 Deja un comentario

Man-Left In the Middle

Utiliza como objetivo un sitio web ya comprometido o con una vulnerabilidad del estilo cross-site scripting (XSS) para pasar las credenciales de acceso de un objetivo de vuelta al servidor HTTP, como resulta lógico, es necesario en primer lugar encontrar una aplicación con alguna vulnerabilidad XSS y enviar la URL al objetivo quien posteriormente ingresará en dicha ruta, el sitio web operará de forma normal, pero cuando el objetivo ingrese en el sistema, sus credenciales son enviadas al atacante.

Leer más…

Conceptos Básicos y Avanzados de SET (Social Engineer Toolkit) – Web Attack Vectors – Parte III

septiembre 16, 2011 Deja un comentario

Se trata de los vectores de ataque mejor elaborados, robustos y con mayores probabilidades de éxito que se han desarrollado en SET debido a que son específicamente diseñados para construir sitios web “ficticios” que son incitantes y creíbles para el objetivo, además cuentan con técnicas bastante elaboradas que permiten que un objetivo sea víctima sin enterarse tan siquiera que ha sido engañado.

Leer más…

Conceptos Básicos y Avanzados de SET (Social Engineer Toolkit) – Spear-Phishing – Parte II

septiembre 14, 2011 Deja un comentario

Una vez comprendidos las opciones de configuración indicadas en el post anterior, se procede a indicar conceptos mas profundos sobre SET. Como ya se ha dicho anteriormente el enfoque de SET radica principalmente en la explotación de vulnerabilidades relacionadas con el factor humano, en este orden de ideas, las opciones principales de SET se encuentran subdivididas por tipos de vectores de ataques, los cuales son utilizados como avenidas para ganar información o acceso a un sistema. Cada vector tiene diferentes probabilidades de éxito/fracaso que se encuentran directamente relacionadas con el objetivo, el mensaje y el medio de comunicación empleado. Algunos vectores de ataque en SET tienen plantillas pre-configuradas que pueden ser usadas para ataques de ingeniería social.

Leer más…

Conceptos Básicos y Avanzados de SET (Social Engineer Toolkit) – Parte I

septiembre 12, 2011 6 comentarios

SET es un Framework muy robusto y completo que se enfoca principalmente en la explotación del “factor humano”, diseñado específicamente para realizar ataques que siguen la filosofía de los conceptos expuestos en el Social Engineering Framework (http://www.social-engineer.org/). El objetivo de esta herramienta es de servir como punto de apoyo a un pentester que utiliza técnicas de ingeniería social, sin embargo no es un fin en si mismo, un ingeniero social debe conocer y dominar las técnicas del “hacking humano” con el objetivo de aplicarlas correctamente apoyado por herramientas con SET. Actualmente existen textos excelentes sobre el tema, sin embargo existen dos que se han convertido en un “estándar” y de lectura casi obligatoria para los ingenieros sociales, estos son:

The Art of Deception – Kevin Mitnick

– Social Engineering, The Art of the Human Hacking – Christopher Hadnagy

Se recomienda su lectura y comprensión, especialmente el segundo, el cual es una síntesis bastante bien elaborada sobre lo que es el Social Engineering Framework.

Leer más…

Conceptos Básicos, Avanzados y Herramientas de Footprinting/FingerPrinting – Maltego

agosto 2, 2011 3 comentarios

Maltego es una de las herramientas mas completas y mejor implementadas que existen actualmente en el mercado enfocada sobre todo en la recolección de información y minería de datos, su valor añadido con respecto a las herramientas existentes en el mercado actualmente: La representación de la información en una forma simbólica, es decir, la información es presentada en distintos formatos de forma visual y enseñan las distintas relaciones encontradas entre la información presentada, por otro lado Maltego permite enumerar información relacionada con elementos de red y dominios de una forma bastante comprensible, así como también permite enumerar información relacionada con personas, datos tales como direcciones de email, sitios web asociados, números de teléfono, grupos sociales, empresas asociadas, etc.

Leer más…

Conceptos Básicos, Avanzados y Herramientas de Footprinting/FingerPrinting – GHDB

agosto 1, 2011 1 comentario

La fase conocida como Footprinting en un proceso que consiste en la búsqueda y recolección de cualquier tipo de información de un objetivo que pueda ser capturada de forma pasiva, es decir, sin el uso de herramientas que realicen escaneos o ataques de reconocimiento de la plataforma objetivo. La información recolectada puede estar en el contexto publico o privado (información privada que por error u otros factores se ha hecho pública pero que no debería serlo). La fase de footprinting intenta obtener la mayor cantidad de detalles sobre el objetivo con el fin de conocer y aprender mejor su entorno, por ejemplo, en el caso de una organización la información relacionada con servidores, empleados, software instalado, proveedores, sedes, procesos de producción, etc. Puede considerarse como el objetivo de la etapa de footprinting. Se trata de una etapa muy importante en el proceso global de penetración contra un objetivo determinado dado que si un atacante conoce cada detalle de su víctima tendrá más oportunidades de conseguir vectores de ataque muy eficientes y exitosos. Un Hacker experimentado, sabe y controla muy bien esta fase del ataque por esta razón no se debe tomar a la ligera y debe planearse con precaución.

Leer más…

A %d blogueros les gusta esto: