Análisis de servicios web

Clase 23 de 33 • Curso de Fundamentos de Pentesting

Resumen

Nikto nos permite hacer un análisis e identificar las debilidades que puedan existir en los servicios web que estén corriendo en un servidor.

Erick González

student•

Estas son unas notas que he creado especialmente para ti y para que #NuncaparesdeAprender

https://www.evernote.com/shard/s747/sh/5b877cb2-1800-41ba-bd86-f5feb3c6aafd/ce5cc7adf43aab8afb1a00c6969e06a7

Rolando Jose Lugo Palomino

student•

Gracias por el aporte

Alejandro López

student•

Muchísimas gracias :)

Oscar Jaramillo

student•

Nikto es un escáner de vulnerabilidad de línea de comandos de software libre que escanea los servidores web en busca de archivos peligrosos/CGIs, software de servidor obsoleto y otros problemas. Realiza comprobaciones genéricas y específicas del tipo de servidor. También captura e imprime las cookies recibidas.

Diego Fernando Ramos Aguirre

student•

gracias por el aporte.

Pablo Aquino

student•

Para escanear por un puerto distinto al 80 nikto -h host -p puerto

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte

Jorge Luis Paiva Huamán

student•

Para escanear una aplicacion web en java, qué herramientas podriamos usar?

David Abraham Tellez Bautista

student•

nikto

Jhayro Rodrigo Huiza Anccasi

student•

Confirmo

Javier Ramos

student•

Nikto web server security scanner así lo define en debian,

nikto -h ipdestino

Gabriel Cantos Medina

student•

Me queda la duda que el ataque lo hace a una IP privada pero ¿si quiero escanear desde fuera de la red debo conocer la ip publica de esa pagina web?

Marco Antonio camarena

student•

SIGO VIVO 2023 :) CORRIENDO NIKTO EN HORA BUENA

Erick González

student•

Nikto!

Marco

student•

no me sale metaspoittable2

andres felipe castillo sanchez

student•

hay q quitarle eso que dice https

Marco Antonio camarena

student•

PRENDE Y CORRE LAS MAQUINAS DEB Y DEBIAN 2, METASLPLOTAIBLE

Análisis de servicios web

Bienvenida y presentación general

Introducción y pasos para aprender sobre pentesting

¿Qué es Pentesting?

Modelo de trabajo PTES

Instalación y configuración de máquinas virtuales para laboratorios

Conceptos generales de redes

Modelo TCP/IP

Enrutamiento

Configuración de una máquina virtual como enrutador

Clonación de la máquina para tener un segundo enrutador

Tablas de enrutamiento y configuración de rutas

Configuración completa del entorno de red

Etapa I: Recopilación de información

Whois

Netcraft

HTTrack

Recon-NG

Escaneo y análisis de vulnerabilidades

Análisis de protocolos TCP y UDP

Escaneo por barrido de IPs y de puertos

Análisis de TCP con Wireshark

Barrido de IPs con nmap

Escaneo XMAS

Escaneo NULL

NMAP Scripting

Análisis de vulnerabilidades con OpenVAS

Explotación

Análisis de servicios web

Explotación de vulnerabilidades con Metasploit

Arquitectura de Metasploit

Ataques con Armitage

Spidering web

Ataques de inyección de código para obtener información de usuarios y nombre de la base de datos

Ataques de inyección de código para obtener información de los usuarios del sistema

Ataques XSS

Post-Explotación

Creación del archivo malicioso y configuración de Meterpreter

Acceso desde Windows a la máquina de Kali

Estructura de un reporte y cómo aprender más de Pentesting