Nikto 2.1.0 por fin fue lanzado. Esta version ha sido reescrita con el objetivo que Nikto sea más modular y reusable. Los cambios incluyen:

• Reescritura del motor de plugins permitiendo mayor control de su estructuray haciendo mas facil agregar plugin.
• Nuevo plugin que utiliza el diccionario OWASP para hacer fuerza bruta a los servidores Web para un rango de 6 caracteres.
• Nuevo plugin para intentar fuerza bruta para dominios.
• Permitir adivinar usuarios entre 3 y 4 caracteres por medio de diccionario o fuerza bruta.
• Soporta autenticación NTML
• Varios bugs corregidos y fallas de seguridad.
• Reescritura del motor de reportes permitiendo dar mas información en los mismos y asegurando que la salida sea escrita antes que Nikto termine.

Esta nueva versión la puedes encontrar en  http://cirt.net/nikto2

SMTPUtils es una herramienta de código abierto con proyección a ser una solución líder que sirva para asegurar los servidores de correo electrónico ante la amenaza del spam, virus y toda clase de programas malignos, empleando pruebas no dañinas para detectar fallos de seguridad y errores de configuración que en ocasiones escapan de los administradores de red. Continua leyendo »

Esta herramienta sirve para romper claves de Windows, con tablas Rainbow. Es casi un SO muy pequeño con interfaz grafica y es multiplataforma, bajo licencia GPL. Inclusive puede tiene una versión LiveCD, no necesitas instalarlo. Existen versiones orientadas a XP y VISTA.

Ophcrack carga los hashes del archivo SAM y los compara con las tablas rainbow consiguiendo así la clave o password del sistema.

Estas herramientas se distribuyen a los usuarios para hacer tareas de recuperación de claves propias, es ilegal obtener claves ajenas sin el consentimiento del propietario.

Aquí puedes encontrar esta herramienta: http://ophcrack.sourceforge.net/

Backtrack es una distribución Linux orientada  a los agentes de seguridad, pentester e investigadores de seguridad. En estos días se ha liberado Backtrack 4 pre-release, una de las ventajas de esta nueva versión es que mediante el comando apt-get se pueden actualizar los repositorios e incluso la misma distro.

Cabe resaltar que esta versión aumenta mas librerías para ser compatible con mas tarjetas inalambricas y llevar a cabo auditorías a este tipo de redes.

Continua leyendo »

Samurai Web Testing Framework es un LiveCD, que contiene un repositorio de herramientas open source para realizar auditorías a aplicativos Webs.  Este Framework divide las herramientas por grupos según una metodología. Continua leyendo »

Como se menciono en algunos de los anteriores posts una herramienta para auditorías de redes inalámbricas es WEPBUSTER el desarrollador libero el codigo de esta herramienta. La gran funcionalidad de esta herramienta es que automatiza los parametros que antes se debian ingresar para poder manejar la suite aircrack-ng

La funcionalidad principal es su automatización de crackeo de todas las claves WEP a su alcance, entre sus otras funcionalidades tenemos:

• Sobrepasar el filtrado de dirección de MAC utilizando la técnica MAC Spoofing
• Revelado automático de SSIDs ocultos
• No es necesario que el cliente inyecte paquetes en el Access-Point
• Autenticación de claves compartidas
• Whitelist y Blacklist (la posibilidad de seleccionar cuales APs auditar)

El codigo lo pueden encontrar en este link http://code.google.com/p/wepbuster/

Gracias a Mark que nos hizo recordar que el código habia sido liberado.

Hace tres horas llego a mi correo un link de youtube sobre una nueva herramienta para auditorías inalámbricas. Esta herramienta se llama WEPBUSTER, ha sido desarrollada en Perl, automatiza las funcionalidades de la suite Aircrack-ng y ha sido probada en Ubuntu. Si hacemos una analogía sería como un Fast-Track (que automatiza Metasploit) para auditar redes inalámbrica. Para ejecurla solo se escribe una linea de comandos y listo. Busca todas las redes existentes juntando un numero determinado de IVs con encriptación WEP y finalmente las crackea.

Aquí les dejo el video de la herramienta disfrutenlo:

El desarrollador muy pronto publicará un blog sobre el tema, solo esta depurando parte del código antes de su lanzamiento.

Utilizando la herramienta OAT se pueden realizar auditorías de seguridad de Office Communication Server 2007. OAT es una herramienta de seguridad diseñada para comprobar la robustez de las contraseñas de los usuarios del Office Communication Server 2007. Después de que se comprometa una contraseña, OAT demuestra el potencial de los ataques que se pueden realizar, utilizando usuarios legítimos, si los controles de seguridad apropiados no están configurados. Continua leyendo »

Una herramienta muy util para auditar las cuentas de usuario y de correo electrónico de un dominio objetivo.

theHarvester busca datos de las siguientes fuentes:

• Google.
• MSN.
• Servidores Pgp.
• Linkedin.

Ejemplos de uso:

1. Para buscar cuentas de correo pertenecientes al dominio “prueba.com” en los 500 primeros resultados de google:

./theharvester.py -d prueba.com -l 500 -b google Continua leyendo »