Ya sabéis nos gustan los recopilatorios pues siempre está bien tener a mano una lista de recursos para nuestros quehaceres diarios (o no tan diarios). En esta ocasión ehacking.net nos trae un top10 de las que consideran las mejores herramientas de hacking del 2015. Como veréis son tan ampliamente utilizadas que si no conocéis alguna de ellas no sois de este "mundo"... y si lo sois seguro que echáis de menos a más de una ;)
Metasploit - el único y sólo el único:
Metasploit irrumpió con fuerza en el mundo de la seguridad cuando fue lanzado allá en 2004. Se trata de una plataforma avanzada de código abierto para desarrollar, probar y utilizar código de exploits. Su modelo extensible a través del cual se pueden integrar payloads, encoders, generadores no-op y exploits ha hecho posible el uso de Metasploit Framework como clave para la investigación moderna de exploiting. Trae cientos de exploits, como se puede ver en su lista de módulos. Esto hace más fácil escribir tus propios exploits y es mucho mejor usar sus shellcodes que buscar otros de dudosa calidad por los rincones más oscuros de Internet. Un extra gratuito es Metasploitable, una máquina virtual Linux intencionalmente insegura que se puede utilizar para probar Metasploit y otras herramientas de explotación sin atacar servidores reales.
w3af - Esta es la forma de hackear un sitio web:
W3af es un framework muy popular, potente y flexible para encontrar y explotar vulnerabilidades en aplicaciones web. Es fácil de utilizar y extender y cuenta con decenas de pruebas web y plugins de explotación. En cierto modo, es como un Metasploit centrado en la web.
Core Impact - Listo para pagar, si quieres hackear:
Core Impact no es barato (prepárate para gastarte al menos $30.000) pero es considerado ampliamente como la herramienta de explotación disponible más potente. Maneja una gran base de datos, actualizada periódicamente, de exploits profesionales, y puede hacer truquitos como comprometer una máquina y luego establecer un túnel cifrado a través de esa máquina para llegar y explotar otros equipos. Entre sus opciones se incluyen Metasploit y Canvas.
sqlmap - Aprende a hacer inyecciones SQL:
sqlmap es una herramienta de pruebas de pentesting de código abierto que automatiza el proceso de detectar y explotar fallos de inyección SQL y comprometer servidores de bases de datos. Viene con un potente motor de detección, con muchas características básicas para el pentester y una amplia gama de pruebas para el fingerprinting de base de datos, búsqueda de datos, sirve para acceder al sistema de archivos subyacente y ejecuta comandos en el sistema operativo a través conexiones out-of-band.
Canvas - Ama los exploits de día cero:
Canvas es una herramienta de explotación de vulnerabilidades comercial de ImmunitySec de Dave Aitel. Incluye más de 370 exploits y es menos costosa que Core Impact o las versiones comerciales de Metasploit. Viene con código fuente completo, y en ocasiones incluso incluye exploits de día cero.
Social Engineer Toolkit - Los humanos son tan tontos:
Social Engineer Toolkit incorpora muchos ataques de ingeniería social muy útiles, todo en un único interfaz. El objetivo principal de SET es automatizar y mejorar muchos de los ataques de ingeniería social que hay. Puede generar automáticamente páginas web o mensajes de correo electrónico, y puede utilizar payloads de Metasploit, por ejemplo, para conectar con un shell una vez que se abra la página.
sqlninja - Explota inyecciones SQL y hackea un sitio web:
sqlininja explota las aplicaciones web que utilizan Microsoft SQL Server como base de datos de back-end. Su atención se centra en la obtención de un shell que se ejecuta en el host remoto. sqlninja no encuentra una inyección SQL, pero automatiza el proceso de explotación una vez que se ha descubierto.
Netsparker - La herramienta fina de la casa:
Netsparker es un escáner de seguridad de aplicaciones web, con soporte tanto para la detección como para la explotación de vulnerabilidades. Su objetivo es no tener falsos positivos confirmando vulnerabilidades después de explotarlas con éxito.
Beef - No lo olvides amigo:
BeEF es un framework para navegadores. Esta herramienta comprobará vulnerabilidades del navegador y la obtención de navegadores "zombies", en tiempo real. Proporciona una interfaz de comando y control que facilita la infección de navegadores indivualmente o en grupo. Está diseñado para escribir fácilmente nuevos módulos de exploits.
dradis - Herramienta de comunicación para hackers:
dradis es un framework de código abierto para facilitar el intercambio efectivo de información entre los participantes de un test de intrusión. Es una aplicación web independiente que proporciona un repositorio centralizado de información para realizar un seguimiento de lo que se ha hecho hasta ahora, y lo que está todavía por delante. Cuenta con plugins para leer y recopilar la producción de una variedad de herramientas de análisis de red, como Nmap, Burp Suite y Nikto.
Fuente: Top 10 Hacking Tools of 2015
Metasploit - el único y sólo el único:
Metasploit irrumpió con fuerza en el mundo de la seguridad cuando fue lanzado allá en 2004. Se trata de una plataforma avanzada de código abierto para desarrollar, probar y utilizar código de exploits. Su modelo extensible a través del cual se pueden integrar payloads, encoders, generadores no-op y exploits ha hecho posible el uso de Metasploit Framework como clave para la investigación moderna de exploiting. Trae cientos de exploits, como se puede ver en su lista de módulos. Esto hace más fácil escribir tus propios exploits y es mucho mejor usar sus shellcodes que buscar otros de dudosa calidad por los rincones más oscuros de Internet. Un extra gratuito es Metasploitable, una máquina virtual Linux intencionalmente insegura que se puede utilizar para probar Metasploit y otras herramientas de explotación sin atacar servidores reales.
w3af - Esta es la forma de hackear un sitio web:
W3af es un framework muy popular, potente y flexible para encontrar y explotar vulnerabilidades en aplicaciones web. Es fácil de utilizar y extender y cuenta con decenas de pruebas web y plugins de explotación. En cierto modo, es como un Metasploit centrado en la web.
Core Impact - Listo para pagar, si quieres hackear:
sqlmap - Aprende a hacer inyecciones SQL:
Canvas - Ama los exploits de día cero:
Social Engineer Toolkit - Los humanos son tan tontos:
sqlninja - Explota inyecciones SQL y hackea un sitio web:
Netsparker - La herramienta fina de la casa:
Beef - No lo olvides amigo:
dradis - Herramienta de comunicación para hackers:
Fuente: Top 10 Hacking Tools of 2015
nmap sin duda!...
ResponderEliminarnmap por supuesto...y nessus/openvas, scapy, cain, hydra, etc., etc...Un top10 es tan reducido que es imposible no pecar al no incluir alguna. Imagina... para alguien de reversing es imperdonable que no esté ollydbg, ida pro o radare2, por ej.
Eliminarbuena informacion
ResponderEliminar