PI   laBitácora.net                   Mirror Cd por nevrlndtink1

« PreviousNext »

Test para auditar la seguridad de una máquina

13 Julio 2006

El portal sobre seguridad informática vulnerabilityassessment, ha publicado en un formato tipo esquema una serie de pasos para auditar la seguridad de un host (Penetration Test).

Estos serían los pasos y herramientas principales del test:

Enumeration Tools
    nmap
    firewalk
    amap
    nbtscan
    hping
    scanrand
    sinfp
    unicornscan
    Default Ports (Examine List)
    Default Passwords (Examine list)

General Vulnerability Scanning Tools
    GFI
    Nessus (Linux)
    Nessus (Windows)
    NGS Typhon
    NGS Squirrel for Oracle
    NGS Squirrel for SQL
    MatriXay
    SARA

Exploit Engine Tools
    Metasploit
    Manual SQL Injection
    SQL Power Injector
    SecurityForest
    Etherape
    Netwox
    Hijetta

Enumeration Results
    FTP port 21 open
        Run hydra brute force
        Run Brutus
    SSH port 22 open
        scanssh
        Run hydra brute force
    Telnet port 23 open
    Sendmail Port 25 open
    TFTP port 69 open
    Finger Port 79 open
    Web Ports 80, 8080 etc. open
        Use Nstealth
        Use Wikto
        Use Nikto
        Proxy Testing
        httprint
    NTP Port 123 open
    MS Windows port 139 open
    SNMP port 161 open
    MS Windows Port 445 open
    Oracle Port 1521 Open
    NFS Port 2049 open
    RDesktop port 3389 open
    Sybase Port 5000+ open

Network Backbone
    Wireshark (Formerly Ethereal)
    Cisco-Torch
    NTP-Fingerprint
    cge
    Manual Check (Credentials required)
    Yersinia
    p0f
    PIXDos

Password cracking
    John the Ripper
    L0phtcrack
    Rainbow crack
    pwdump

Pre-Inspection Visit
    Introduction
    Accreditation Status
    Scope of Test
    Known waivers/exemptions
    Contractural constraints
    Local equipment requirement
    Local manpower requirement
    Points of Contact
    Reporting Timescales
    Previous tests & reports
    Physical inspection

Network Reconnaisance
    Whois
        ARIN
        RIPE
        APNIC
    Sam Spade
    Google
        General Information
        Financial
        Phone book
        Google Hacking Database
    Social Engineering
    Dumpster Diving
    Web Site copy
        htttrack
        teleport pro
    Zone Transfer
        nslookup
        dig
        host
    Cheops-ng

Posted in webs, Seguridad, Hacking | Trackback | del.icio.us | Top Of Page

    One Response to “Test para auditar la seguridad de una máquina”

  1. Pedro Says:

    ¿Sabes si existe una utilidad como esta?
    Los usuarios que visualizan las páginas web solo ven caracteres sin sentido, porque están encriptadas (son paginas web normales, pero llenas de caracteres extraños). Si un hacker consigue entrar en el servidor, tampoco puede ver nada, porque las páginas están encriptadas igual que antes y solo verá caracteres extraños. Sin embargo, un usuarios con un navegador web que tenga un plugin o programa externo, y con la clave de desencriptación correcta, si que puede visualizar perfectamente las páginas web dentro del navegador.
    Y ya que estamos, que además funcione con cualquier aplicación web, como un wiki. De esta forma, siempre que editemos una página, nosotros la veríamos bien, pero en el servidor se guardaría encriptada.

    Saludos
    Pedro

Leave a Reply




Estadísticas
Licencia Creative Commons