Pentesting con

AndroidNIPPER – TOOLKIT WEB SCAN

Quien soy yo?

Juan David Castro

Investigador de Seguridad Informática

Desarrollador Web

Experto de Marketing Digital (SEO, SEM, Social Media)

Facebook: fb.com/dylan.Irzi

Twitter: @Dylan_Irzi11

Contacto:

dylan@websecuritydev.com

Agenda

Motivación

HackerPhone

Proyectos previos de herramientas de pentesting

La Herramienta: Nipper

CMS y sus Vulnerabilidades

Incidentes recientes

DEMO

Vectores de ataque con Nipper

Recomendaciones

Cooming Soon

Motivación

Pentesting desde Smartphone.

Falta de una herramienta Funcional

Primeramente la herramienta era privada.

Conociendo un poco…

Cuota de uso

De sistemas

operativo

(Smartphone)

Smartphone Hacking

Pwn Phone

Nexus 5Rom Basado en Android

Incluye Tools de Hacking

Teléfono Al Estilo Hollywood

Entonces previamente…

Existían diferentes herramientas:

- dSploit : Suite de pentesting de Red ( MiTM ,Port Scanner , RouterPWN )

- Shark for Root : Sniffer de Red

- DroidSheep: Sniffer de Red y Session Hijacking

- aWPScan : Escáner de vulnerabilidades de WordPress ( Not Root )

- WebSecurify : Escáner de vulnerabilidades web ( Proyecto no disponible )

- Andosid : DDoS Attack Tools

Entre otros muchos proyectos

Todos con algo en común:

Limitante ?

Problema ?

Accesibilidad ?

La Tool

Resolver

Nipper

Nipper : Toolkit Web Scan

Multiple ModulesMade in Java Not Root Access

From Pentester To Pentester, Nipper.

Nipper : Toolkit Web Scan

Listado de Módulos:

- IP Server

- CMS Detect & Version

- DNS Lookup

- Nmap ports IP SERVER

- Enumeration Users

- Enumeration Plugins

- Find Exploit Core CMS

- Find Exploit DB

- CloudFlare Resolver

- Identificación de Theme WP

- Detección de CMS Avanzado

Por que CMS?

Uso de CMS en sitios webs

Vulnerabilidades CMS

Fuente: http://es.slideshare.net/Imperva/cms-hacking-101

Especialmente WordPress

Estudio del 2015

de BuiltWith

Vulnerabilidades Frecuentes

80% 3rt Party Vulnerability

20% Core CMS

Incidentes

Incidentes de Cyber Seguridad

Enfoque de Atacantes

CMS Attack

Demo

Demo en vivo

Vectores de Ataque

3

2

1

WordPress Vulnerability

Base de datos de WPScan.

Core, Plugin y Theme

Vulnerability.

Xmlrpc Attack DoS

Brute Force CMS ( Beta )

Ataque De fuerza bruta a CMS

Anti-BruteForce Detection

Joomla Vulnerability

Database Exploit List

SQL Injection With

SQLMapChik

Drupal Vulnerability

Database Exploit List

Xmlrpc Attack DoS

Recomendaciones

Hardening CMS.

Alerta de Seguridad de su sistema de CMS.

Sistemas auto-penteting

Usar Web Application Firewall (WAF)

Cooming Soon

Incluir nuevos CMS.

Plugin para navegador Google Chrome.

Liberación de Versión para iOS.

Versión Web enlazada con App Android.

Entre otras nueva funcionalidades etc…

Dudas o Preguntas?

GRACIASHACK TO WORLD!

“”

PRESENTACION

VERSION NO FINAL

Esta presentación puede estar sujeta a cambios y modificaciones, no

representa la presentación final del evento.