SlideShare ist ein Scribd-Unternehmen logo

Pentesting con android - Nipper Toolkit Web Scan

Dylan Irzi
Dylan Irzi

El documento presenta la herramienta Nipper, un toolkit de escaneo web desarrollado en Java que permite realizar pentesting desde dispositivos Android sin necesidad de acceso root. La herramienta incluye módulos para detección de CMS, escaneo de puertos, enumeración de usuarios y plugins, búsqueda de exploits, resolución de DNS y CloudFlare, e identificación del tema de WordPress. Se discuten las vulnerabilidades comunes en CMS como WordPress y los incidentes de seguridad recientes relacionados con ellos. Finalmente

Software
1 von 31
Downloaden Sie, um offline zu lesen
Pentesting con Android NIPPER – TOOLKIT WEB SCAN
Quien soy yo? Juan David Castro Investigador de Seguridad Informática Desarrollador Web Experto de Marketing Digital (SEO, SEM, Social Media) Facebook: fb.com/dylan.Irzi Twitter: @Dylan_Irzi11 Contacto: dylan@websecuritydev.com
Agenda  Motivación  HackerPhone  Proyectos previos de herramientas de pentesting  La Herramienta: Nipper  CMS y sus Vulnerabilidades  Incidentes recientes  DEMO  Vectores de ataque con Nipper  Recomendaciones  Cooming Soon
Motivación  Pentesting desde Smartphone.  Falta de una herramienta Funcional  Primeramente la herramienta era privada.
Conociendo un poco… Cuota de uso De sistemas operativo (Smartphone)
Smartphone Hacking Pwn Phone Nexus 5 Rom Basado en Android Incluye Tools de Hacking
Teléfono Al Estilo Hollywood
Entonces previamente…  Existían diferentes herramientas:  - dSploit : Suite de pentesting de Red ( MiTM ,Port Scanner , RouterPWN )  - Shark for Root : Sniffer de Red  - DroidSheep: Sniffer de Red y Session Hijacking  - aWPScan : Escáner de vulnerabilidades de WordPress ( Not Root )  - WebSecurify : Escáner de vulnerabilidades web ( Proyecto no disponible )  - Andosid : DDoS Attack Tools  Entre otros muchos proyectos
Todos con algo en común: Limitante ? Problema ? Accesibilidad ?
La Tool Resolver Nipper
Nipper : Toolkit Web Scan Multiple ModulesMade in Java Not Root Access From Pentester To Pentester, Nipper.
Nipper : Toolkit Web Scan  Listado de Módulos:  - IP Server - CMS Detect & Version - DNS Lookup - Nmap ports IP SERVER - Enumeration Users - Enumeration Plugins - Find Exploit Core CMS - Find Exploit DB - CloudFlare Resolver - Identificación de Theme WP - Detección de CMS Avanzado
Por que CMS?
Uso de CMS en sitios webs
Vulnerabilidades CMS Fuente: http://es.slideshare.net/Imperva/cms-hacking-101
Especialmente WordPress Estudio del 2015 de BuiltWith
Vulnerabilidades Frecuentes 80% 3rt Party Vulnerability 20% Core CMS
Incidentes
Incidentes de Cyber Seguridad
Enfoque de Atacantes CMS Attack
Demo Demo en vivo
Vectores de Ataque 3 2 1
WordPress Vulnerability Base de datos de WPScan. Core, Plugin y Theme Vulnerability. Xmlrpc Attack DoS
Brute Force CMS ( Beta ) Ataque De fuerza bruta a CMS Anti-BruteForce Detection
Joomla Vulnerability Database Exploit List SQL Injection With SQLMapChik
Drupal Vulnerability Database Exploit List Xmlrpc Attack DoS
Recomendaciones  Hardening CMS.  Alerta de Seguridad de su sistema de CMS.  Sistemas auto-penteting  Usar Web Application Firewall (WAF)
Cooming Soon  Incluir nuevos CMS.  Plugin para navegador Google Chrome.  Liberación de Versión para iOS.  Versión Web enlazada con App Android.  Entre otras nueva funcionalidades etc…
Dudas o Preguntas?
GRACIAS HACK TO WORLD!
“ ” PRESENTACION VERSION NO FINAL Esta presentación puede estar sujeta a cambios y modificaciones, no representa la presentación final del evento.

Empfohlen

Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
Julian Maximiliano Zarate
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
Alonso Caballero
 
Spyware
SpywareSpyware
Spyware
infobran
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.
Dylan Irzi
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosim
gh02
 
Eset smart sercurity_premium_10
Eset smart sercurity_premium_10Eset smart sercurity_premium_10
Eset smart sercurity_premium_10
Julio Antonio Huaman Chuque
 
Top ten Antivirus
Top ten AntivirusTop ten Antivirus
Top ten Antivirus
fovi96
 
Norton internet security
Norton internet securityNorton internet security
Norton internet security
CesarGomezDiaz
 

Empfohlen

Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
Julian Maximiliano Zarate
 
Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"Webinar Gratuito "Reconocimiento Web"
Webinar Gratuito "Reconocimiento Web"
Alonso Caballero
 
Spyware
SpywareSpyware
Spyware
infobran
 
Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.Smartphone: Herramienta de Bolsillo de un Hacker.
Smartphone: Herramienta de Bolsillo de un Hacker.
Dylan Irzi
 
Nmap.potosim
Nmap.potosimNmap.potosim
Nmap.potosim
gh02
 
Eset smart sercurity_premium_10
Eset smart sercurity_premium_10Eset smart sercurity_premium_10
Eset smart sercurity_premium_10
Julio Antonio Huaman Chuque
 
Top ten Antivirus
Top ten AntivirusTop ten Antivirus
Top ten Antivirus
fovi96
 
Norton internet security
Norton internet securityNorton internet security
Norton internet security
CesarGomezDiaz
 
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
Miguel de la Cruz
 
ESET Endpoint Solutions
ESET Endpoint SolutionsESET Endpoint Solutions
ESET Endpoint Solutions
ESET Latinoamérica
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
Moises Silva
 
Spyware On-line De Panda
Spyware On-line De Panda Spyware On-line De Panda
Spyware On-line De Panda
antibiruspc11
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
Andrés Gómez
 
10 tipos de antivirus
10 tipos de antivirus10 tipos de antivirus
10 tipos de antivirus
Ale_Macias
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
acevedovasquez
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
acevedovasquez
 
Malware
Malware Malware
Malware
javierholgueras
 
10 Tipos de Antivirus
10 Tipos de Antivirus10 Tipos de Antivirus
10 Tipos de Antivirus
Anselmy Garcia
 
Presentación1
Presentación1Presentación1
Presentación1
wiz03815
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela Oliva
Pamela Oliva
 
10 antivirus
10 antivirus10 antivirus
10 antivirus
ana_20015
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
Pamela Oliva
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
PamelaOliva98
 
Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.
Juana María Martínez Hernández
 
10 mejores antivirus 1a
10 mejores antivirus 1a10 mejores antivirus 1a
10 mejores antivirus 1a
Dany032599
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla act
Karen Zavala Gallardo
 
Trabajos de informatica
Trabajos de informaticaTrabajos de informatica
Trabajos de informatica
'Maxim Troya'
 
[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android
DEVCORE
 
Pentesting Android Apps
Pentesting Android AppsPentesting Android Apps
Pentesting Android Apps
Abdelhamid Limami
 
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop
OWASP
 

Weitere ähnliche Inhalte

Was ist angesagt?

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
Miguel de la Cruz
 
10 tipos de antivirus
10 tipos de antivirus10 tipos de antivirus
10 tipos de antivirus
Ale_Macias
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela Oliva
Pamela Oliva
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
Pamela Oliva
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
PamelaOliva98
 
Trabajos de informatica
Trabajos de informaticaTrabajos de informatica
Trabajos de informatica
'Maxim Troya'
 

Was ist angesagt? (19)

Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
 
ESET Endpoint Solutions
ESET Endpoint SolutionsESET Endpoint Solutions
ESET Endpoint Solutions
 
Vulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHPVulnerabilidades en Aplicaciones Web PHP
Vulnerabilidades en Aplicaciones Web PHP
 
Spyware On-line De Panda
Spyware On-line De Panda Spyware On-line De Panda
Spyware On-line De Panda
 
Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1Cer tuy capacitaciones2011_v1
Cer tuy capacitaciones2011_v1
 
10 tipos de antivirus
10 tipos de antivirus10 tipos de antivirus
10 tipos de antivirus
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
 
Mejores antivirus
Mejores antivirusMejores antivirus
Mejores antivirus
 
Malware
Malware Malware
Malware
 
10 Tipos de Antivirus
10 Tipos de Antivirus10 Tipos de Antivirus
10 Tipos de Antivirus
 
Presentación1
Presentación1Presentación1
Presentación1
 
Antivirus informaticos Pamela Oliva
Antivirus informaticos Pamela OlivaAntivirus informaticos Pamela Oliva
Antivirus informaticos Pamela Oliva
 
10 antivirus
10 antivirus10 antivirus
10 antivirus
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
 
Presentación antivirusinformaticos
Presentación antivirusinformaticosPresentación antivirusinformaticos
Presentación antivirusinformaticos
 
Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.Amenazas de seguridad informátiva y posible solución.
Amenazas de seguridad informátiva y posible solución.
 
10 mejores antivirus 1a
10 mejores antivirus 1a10 mejores antivirus 1a
10 mejores antivirus 1a
 
Escuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla actEscuela normal urbana federal cuautla act
Escuela normal urbana federal cuautla act
 
Trabajos de informatica
Trabajos de informaticaTrabajos de informatica
Trabajos de informatica
 

Andere mochten auch

Deep Dive Into Android Security
Deep Dive Into Android SecurityDeep Dive Into Android Security
Deep Dive Into Android Security
Marakana Inc.
 

Andere mochten auch (6)

[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android[2014/10/06] HITCON Freetalk - App Security on Android
[2014/10/06] HITCON Freetalk - App Security on Android
 
Pentesting Android Apps
Pentesting Android AppsPentesting Android Apps
Pentesting Android Apps
 
[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop[Wroclaw #1] Android Security Workshop
[Wroclaw #1] Android Security Workshop
 
Pentesting Android Applications
Pentesting Android ApplicationsPentesting Android Applications
Pentesting Android Applications
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
Deep Dive Into Android Security
Deep Dive Into Android SecurityDeep Dive Into Android Security
Deep Dive Into Android Security
 

Ähnlich wie Pentesting con android - Nipper Toolkit Web Scan

Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
Alonso Caballero
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
Alonso Caballero
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
Chris Fernandez CEHv7, eCPPT, Linux Engineer
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
gh02
 

Ähnlich wie Pentesting con android - Nipper Toolkit Web Scan (20)

Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0Samurai Web Testing Framework 2.0
Samurai Web Testing Framework 2.0
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking WebWebinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
Webinar Gratuito: Escaneos con Scripts de Nmap para Hacking Web
 
Hacking ético [Pentest]
Hacking ético [Pentest]Hacking ético [Pentest]
Hacking ético [Pentest]
 
Apt malware
Apt malwareApt malware
Apt malware
 
Lab1.4.5
Lab1.4.5Lab1.4.5
Lab1.4.5
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
 
Framework para pentesters
Framework para pentestersFramework para pentesters
Framework para pentesters
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
 
Hacking etico remington
Hacking etico remingtonHacking etico remington
Hacking etico remington
 
Troyanos
TroyanosTroyanos
Troyanos
 
Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]Metasploit - Bypass UAC fodhelper [Post-explotación]
Metasploit - Bypass UAC fodhelper [Post-explotación]
 
Taller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones WebTaller Virtual de Pentesting contra Aplicaciones Web
Taller Virtual de Pentesting contra Aplicaciones Web
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Sbampato Vulnerabilidades Windows
Sbampato Vulnerabilidades WindowsSbampato Vulnerabilidades Windows
Sbampato Vulnerabilidades Windows
 

Pentesting con android - Nipper Toolkit Web Scan