26 de octubre de 2008

Paros y Nones

Aprovechando que estoy desvelado, desvelado y en la hora tonta de la semana, esa de las que a las 3 son las 2. He aprovechado para trapichear con una nueva herramienta, bueno, nueva al menos para mi :-)

Es el Paros Proxy , una excelente aplicación para auditorias Web que los más especializados en Hacking ético seguramente conocerán. La misma actúa como Proxy intermedio (a lo MITM) para nuestro tráfico http /https, por ello habrá que configurar nuestro navegador para que salga a Internet a través de ella, por ejemplo, en Firefox se hace así:


Firefox 3 saldrá por Paros Proxy

Una vez hagamos esto, cuando naveguemos con Firefox todo el tráfico atravesará esta aplicación, y con ello podremos ver que información viaja, que estructura tiene el sitio Web (opcion spider), que vulnerabilidades tiene (opción scan), de que tipo, y donde encontrar más información. Todo ello con un informe (opción report) que no tiene nada que envidiar a los de Nessus, u otras herramientas.

Paros: Trapicheando a deshoras

Pero no es todo, si encuentra una vulnerabilidad de SQL Injection, te ofrece una cadena de prueba para que realices la inyección, si detecta una vulnerabilidad XSS, te “asesora” en la forma de explotarla, etc. Por mi parte la he estado usando con varias páginas Web, foros, y, como no podía ser de otra forma, las alarmas han saltado por todos sitios, archivos .bak, .old, desarrollos en phpBB sin actualizar, inyecciones SQL,, ¡en Calendarios!, etc. Nada nuevo en el frente. Lo único, tener especial cuidado por que la herramienta, como todo escáner de vulnerabilidades, es muy intrusiva. Tener en cuenta que este tipo de aplicaciones se basan en pruebas de ensayo / error y generan multitud de peticiones por segundo, cualquier sistema de protección saltará a las primeras de cambio.
Portaros bien!
Salu2

3 comentarios:

Anónimo dijo...

¡¡Tiene una pinta estupenda!! Me lo apunto para probarlo junto a un par de herramientas que tengo por aquí.

Gracias por la recomendación ;)

Un saludo.

GigA ~~ dijo...

jeje, no tiene mala pinta, este fin de semana si me da tiempo (que preveo que no) os introduciré otra bastante interesante también.

Un saludo lobo :)

des dijo...

¡Hola GigA!. Yo trabajé mucho con el Paros, me gustaba porque era súper sencilla. Pero en cuanto me metía en harina con una aplicación propietaria, en algún proyecto, se me quedaba corta... Una que me gustaba más era WebScarab de OWASP.

Slds!