Blog

ACTUALIDAD
16 Nov 2018

TSSpentest: Nueva herramienta de auditoría de seguridad y hacking ético automatizada

TSSpentest – Nueva herramienta de auditoría de seguridad informática y hacking ético automatizada

Hoy os presentamos una herramienta desarrollada por Francisco Sanz, CEO en The Security Sentinel. Esperamos que esta herramienta os sirva de ayuda a la hora de realizar una auditoría de seguridad informática y hacking ético (pentest) sobre un dominio o una web para protegerlos de posibles ataques informáticos de hackers.

Estamos hablando de una herramienta de auditoría pentest automatizada creada en Bash, con varias herramientas que son llamadas desde el menú principal, pero siguiendo la estructura de un pentest (sería un pentest simple, pero es una tool de código abierto y modificable, que es lo más interesante).

Podéis descargar esta herramienta desde aquí.

¿Cómo realizar una auditoría de seguridad informática pentest automatizada con TSSpentest?

TSSpentest es muy sencilla de utilizar y muy intuitiva. Es perfecta para aquellos que estéis empezando en el mundo del hacking ético. Una vez que la descarguemos, le damos permiso al fichero:

TSSpentest: herramienta de auditoría de seguridad informática

Posteriormente, lanzamos la herramienta de auditoría:

TSSpentest: herramienta de auditoría de hacking ético

Nos aparecerá la pantalla de inicio, donde tendremos que meter el dominio a auditar:

TSSpentest: herramienta de auditoría pentest automatizada

Acto seguido, nos mandará al menú principal. Todo muy sencillo e intuitivo:

TSSpentest: herramienta de auditoría de seguridad informática

Lo primero es iniciar el análisis completo, donde lo que hará será un spidering; posteriormente, cuando lo termine, guardará todo en una carpeta con el nombre del dominio, donde podremos ver los resultados obtenidos para posteriormente realizar más pruebas de pentest.

TSSpentest: herramienta de auditoría de hacking ético

Una vez que termine la primera fase, te pedirá que pulses una tecla para continuar. A continuación, analizará los subdominios, servidores de correo, ip’s, transferencia de zona, etcétera.

TSSpentest: herramienta de auditoría pentest automatizada

TSSpentest: herramienta de auditoría de seguridad informática

Después nos dará información de su estructura:

TSSpentest: herramienta de auditoría de hacking ético

Seguidamente buscará correos en la red y más subdominios, si los hubiera.

TSSpentest: herramienta de auditoría pentest automatizada

Analiza también si existe un WAF protegiendo la web.

TSSpentest: herramienta de auditoría de seguridad informática

Pasamos después a un escaneo intenso sobre el objetivo:

TSSpentest: herramienta de auditoría de hacking ético

Y se finaliza con el menú de análisis de vulnerabilidades para terminar con la auditoría de seguridad y hacking ético. Aquí debéis tener instaladas todas las herramientas en Kali. Solo está Nikto por defecto. Desde el código de la tool, podéis modificar todo lo que queráis.

TSSpentest: herramienta de auditoría pentest automatizada

También tenemos el menú de ataques, donde encontramos metasploit, sqllmap, hydra… pero siempre que las fases anteriores nos arrojen la información necesaria.

Antes del ataque, hay que recoger y analizar toda la información.

TSSpentest: herramienta de auditoría de seguridad informática

Una vez terminado todo, antes de ir a los ataques, encontraréis un directorio que se ha creado en vuestro equipo, en el directorio de la aplicación, donde se recoge toda la información de la auditoría de seguridad anterior.

¡Tenemos que estudiarla antes de pasar a la explotación!

TSSpentest: herramienta de auditoría de hacking ético

TSSpentest: herramienta de auditoría pentest automatizada

Esperamos que os haya gustado esta herramienta de auditoría de seguridad informática y hacking ético y que le saquéis partido haciendo modificaciones.

Próximamente tendremos noticias de una nueva herramienta, llamada Tsspentestred, para analizar redes internas.

Posicionamiento Web SEO: David Moreno Rozas

En The Security Sentinel ofrecemos los servicios que necesitas para proteger tu empresa de posibles ataques informáticos: auditorías de seguridad informática, hacking ético, ciberseguridad y redes.