information gathering
TRANSCRIPT
![Page 1: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/1.jpg)
INFORMATION
GATHERINGClase 3
05-09-2013
![Page 2: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/2.jpg)
INFORMATION GATHERING
La primera fase de evaluación de la seguridad se centra en la
recopilación de información tanto como sea posible acerca de una
aplicación web.
La recopilación de información es el paso más crítico de una prueba de
seguridad de aplicaciones web.
Esta tarea puede llevarse a cabo de muchas maneras
diferentes, mediante el uso de herramientas públicas (motores de
búsqueda), escáner, envío de simples peticiones HTTP o solicitudes
especialmente diseñadas, es posible forzar a la aplicación a filtrar
información, por ejemplo, la revelación de mensajes de errores o las
versiones y las tecnologías utilizadas.
![Page 3: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/3.jpg)
INFORMATION GATHERING
Hay básicamente dos tipos de recolección de información: activa y
pasiva.
Recopilación de información pasiva es que los atacantes no se
comunicarán con el objetivo directamente y estarán tratando de reunir
información que está disponible en la Internet, mientras que en la
recolección activa de información, el atacante estará en contacto
directo con el objetivo y estará tratando de reunir información.
![Page 4: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/4.jpg)
THEHARVESTER
TheHarvester es una herramienta para recopilar cuentas de correo
electrónico, nombres de usuario y nombres de host o subdominios de
diferentes fuentes públicas como motores de búsqueda y los servidores de
claves PGP.
Por ejemplo
/pentest/enumeration/theharvester# ./theHarvester.py -d sitio-web.com -l
500 -b google
/pentest/enumeration/theharvester# ./theHarvester.py -d sitio-web.com -b
pgp
/pentest/enumeration/theharvester# ./theHarvester.py -d sitio-web.com -l
200 -b linkedin
![Page 5: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/5.jpg)
THEHARVESTER
En la distro de NodeZero se muestra a continuación donde esta la
herramienta theharvester
![Page 6: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/6.jpg)
THEHARVESTER
![Page 7: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/7.jpg)
THEHARVESTER
Si le damos clic a la herramienta nos aparecerá la siguiente terminal con
información de la herramienta
![Page 8: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/8.jpg)
THEHARVESTER
![Page 9: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/9.jpg)
THEHARVESTER
Como se muestra a continuación ejecutamos un ejemplo dentro de la
terminal
![Page 10: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/10.jpg)
THEHARVESTER
![Page 11: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/11.jpg)
THEHARVESTER
![Page 12: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/12.jpg)
THEHARVESTER
![Page 13: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/13.jpg)
MALTEGO
Maltego, es una herramienta que se basa en la información y aplicación
forense y muestra cómo la información está conectada el uno al otro.
Con Maltego, podemos encontrar las relaciones que las personas
mayormente usan en la actualidad, incluyendo su perfil social (Facebook –
Twitter), amigos mutuos, las empresas que se relacionan con la información
recopilada, y sitios web.
Si queremos recoger información relacionada con cualquier
infraestructura, podemos reunir relación entre los dominios y nombres de
DNS.
![Page 14: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/14.jpg)
MALTENGO
En la distro de Kali se muestra a continuación donde esta la herramienta
theharvester
![Page 15: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/15.jpg)
MALTENGO
![Page 16: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/16.jpg)
MALTENGO
Hacemos clic sobre la herramienta y una vez configurada y generada
nuestra cuenta en el sitio para poder utilizarla y haber escogido el dominio
Unitec.mx, se obtuvo lo siguiente
![Page 17: Information gathering](https://reader031.vdocuments.us/reader031/viewer/2022032714/55aac1fb1a28abe9758b4715/html5/thumbnails/17.jpg)
MALTENGO