Pcapr
Hace un tiempo un nuevo portal colaborativo a empezado a funcionar. Se trata de Pcapr (by mudynamics.com), un sitio donde podemos descargar, editar, analizar, modificar y cargar archivos pcap.
La interfaz es muy sencilla y permite realizar varias acciones interesante, como por ejemplo realizar busquedas bastante detalladas:
O editar el contenido:
Y por supuesto, descargarte el archivo pcap.
Además de poder acceder y compartir pcap's Pcapr nos permite además, mediante Cap'r Mak'r, crear archivos pcap de manera sencilla. Veamos como funciona con un sencillo ejemplo:
Vamos a crear un archivo pcap que contenga una petición HTTP con su correspondiente respuesta.
En primer lugar indicamos el contenido, tanto de la petición como de la respuesta. Podemos editar el User-Agent entre otras cosas. En este caso podemos "Editable" y de esta manera comprobaremos facilmente que la petición se ha creado correctamente.
En la respuesta podemos añadir como payload un fichero de nuestro sistema e indicarle desde la versión del servidor, hasta el tipo de contenido como vemos en la imgen.
Una vez tenemos el contenido pasaremos a indicarle lo que necesitamos para realizar la conexión TCP...
Ya nos podemos descargar lo que hemos creado y comprobar que efectivamente no nos ha engañado, y por lo menos el "User-Agent" es el que pusimos 
.
+info www.pcapr.net
AWLG
Hace unos días Darknet publicaba una entrada donde nos hablaba de "AWLG: The Associative Word List Generator". Un generador de listas de palabras asociativo que basa su funcionamiento en búsquedas en la red.
El funcionamiento es sencillo, le indicamos las palabras que queremos incluir como base para la lista y las que deseamos omitir y su motor se encarga en unos minutos de proporcionarnos el diccionario.
Pero se nos plantea una pequeña duda... ¿Qué palabras utilizo como principales para que realice la búsqueda si queremos un diccionario "genérico"?
Pues bien, para probar la web y como propuesta hemos creado un diccionario utilizando como "root words" con los 50 primeros clasificados en el "Top 500" de contraseñas (en inglés) que publicó tufuncion.com.
En el siguiente enlace os dejamos el resultado que nos proporciona AWGL en un fichero .zip por si a alguien le interesa o le apetece utilizarlo y comentarnos los resultados obtenidos. http://awlg.org/g/1197BB82AFB217D3760FD1329A637F21z1.zip(13.8Mb)
OWASP Testing Guide v3 disponible
Acaba de ser publicada la versión 3 de esta práctica guía de PenTesting en aplicaciones Web.
El proceso de creación de esta nueva versión (349 páginas) se inició en abril de este año, con el objetivo de mejorar la versión 2.
Esta nueva versión cuenta con 66 controles a analizar durante las pruebas de seguridad, donde cada control tiene un identificador OWASP. Por ejemplo, SQL Injection tiene asociado el valor OWASP-DV-005 (lo que indica que se trata del control 5 de la categoría "Data Validation").
La guía la tenéis disponible a través de los siguientes enlaces:
- http://www.owasp.org/index.php/OWASP_Testing_Project
- http://www.owasp.org/images/5/56/OWASP_Testing_Guide_v3.pdf
Y la presentación aquí.