TSSpentest: Nueva herramienta de auditoría de seguridad y hacking ético automatizada
TSSpentest – Nueva herramienta de auditoría de seguridad informática y hacking ético automatizada
Hoy os presentamos una herramienta desarrollada por Francisco Sanz, CEO en The Security Sentinel. Esperamos que esta herramienta os sirva de ayuda a la hora de realizar una auditoría de seguridad informática y hacking ético (pentest) sobre un dominio o una web para protegerlos de posibles ataques informáticos de hackers.
Estamos hablando de una herramienta de auditoría pentest automatizada creada en Bash, con varias herramientas que son llamadas desde el menú principal, pero siguiendo la estructura de un pentest (sería un pentest simple, pero es una tool de código abierto y modificable, que es lo más interesante).
Podéis descargar esta herramienta desde aquí.
¿Cómo realizar una auditoría de seguridad informática pentest automatizada con TSSpentest?
TSSpentest es muy sencilla de utilizar y muy intuitiva. Es perfecta para aquellos que estéis empezando en el mundo del hacking ético. Una vez que la descarguemos, le damos permiso al fichero:
Posteriormente, lanzamos la herramienta de auditoría:
Nos aparecerá la pantalla de inicio, donde tendremos que meter el dominio a auditar:
Acto seguido, nos mandará al menú principal. Todo muy sencillo e intuitivo:
Lo primero es iniciar el análisis completo, donde lo que hará será un spidering; posteriormente, cuando lo termine, guardará todo en una carpeta con el nombre del dominio, donde podremos ver los resultados obtenidos para posteriormente realizar más pruebas de pentest.
Una vez que termine la primera fase, te pedirá que pulses una tecla para continuar. A continuación, analizará los subdominios, servidores de correo, ip’s, transferencia de zona, etcétera.
Después nos dará información de su estructura:
Seguidamente buscará correos en la red y más subdominios, si los hubiera.
Analiza también si existe un WAF protegiendo la web.
Pasamos después a un escaneo intenso sobre el objetivo:
Y se finaliza con el menú de análisis de vulnerabilidades para terminar con la auditoría de seguridad y hacking ético. Aquí debéis tener instaladas todas las herramientas en Kali. Solo está Nikto por defecto. Desde el código de la tool, podéis modificar todo lo que queráis.
También tenemos el menú de ataques, donde encontramos metasploit, sqllmap, hydra… pero siempre que las fases anteriores nos arrojen la información necesaria.
Antes del ataque, hay que recoger y analizar toda la información.
Una vez terminado todo, antes de ir a los ataques, encontraréis un directorio que se ha creado en vuestro equipo, en el directorio de la aplicación, donde se recoge toda la información de la auditoría de seguridad anterior.
¡Tenemos que estudiarla antes de pasar a la explotación!
Esperamos que os haya gustado esta herramienta de auditoría de seguridad informática y hacking ético y que le saquéis partido haciendo modificaciones.
Próximamente tendremos noticias de una nueva herramienta, llamada Tsspentestred, para analizar redes internas.
Posicionamiento Web SEO: David Moreno Rozas