0

Convierte tu Navegador Chrome en tu herramienta de Pentesting

Posted by maltamir on Jul 19, 2017 in Avances Tecnológicos, Seguridad.

En la actualidad casi el 45% de la «cuota de mercado» de navegadores la tiene Google Chrome y es por eso que muchos pentesters se sienten más cómodos utilizándolo durante sus auditorías. Por ello y porque nunca hay que cerrarse al uso de nuevas herramientas,  Infosec Institute ha realizado una interesante recopilación de de extensiones que convertirán al popular navegador en una verdadera «caja de utilidades» para pentesting.

Para agregarlas sólo tienes que seguir cada enlace correspondiente y así añadir nuevas y potentes funcionalidades, dejando la barra de tu navegador parecida a la siguiente:

  • Web developer: es una extensión de Google Chrome que agrega una barra con varias herramientas de desarrollo web en Chrome. Esta extensión ayuda a analizar elementos de la aplicación web como HTML y JS.
  • Firebug Lite for Google Chrome: Proporciona un rico entorno visual para analizar elementos HTML, elementos DOM y otros Box Model Shading. También permite editar CSS en tiempo real. Ayuda en el análisis de cómo una aplicación está trabajando en el lado del cliente.
  • D3coder: permite codificar y decodificar texto seleccionado a través del menú contextual. Por lo tanto, reduce el tiempo para codificar y decodificar cadenas utilizando herramientas separadas. Soporta Timestamp, rot13, base64, hashes CRC32, MD5 y SHA1, bin2hex, bin2text, unserialize, etc.
  • Site Spider: Es una extensión que agrega un crawler en Chrome. Rastrea todas las páginas e informa de todos los enlaces rotos. También se puede configurar añadiendo restricciones y expresiones regulares, que funcionen en el lado del cliente, y usar autenticación para acceder a todas las páginas. Esta extensión es de código abierto.
  • Form Fuzzer: se utiliza para completar diferentes campos de formulario con caracteres predefinidos. También puede marcar casillas de verificación, botones de radio y seleccionar elementos en formularios. Cuenta con un menú de configuración donde se pueden gestionar todas las configuraciones de la extensión. Es muy útil para probar formularios. Muy útil en la realización de ataques de inyección XSS y SQL.
  • Session Manager: es una potente extensión de Chrome que permite a los usuarios guardar, actualizar, restaurar y eliminar conjuntos de pestañas. Puede crear un grupo de pestañas del mismo interés y restaurarlas con un solo clic.
  • Request Maker: es una herramienta base de pentesting. Se utiliza para crear y capturar peticiones, manipular la URL y crear nuevos encabezados con datos POST. Puede capturar las solicitudes realizadas a través de formularios o XMLHttpRequests. Su función es similar a Burp. También es útil en la realización de varios tipos de ataques en una aplicación web mediante la modificación de las solicitudes http.
  • Proxy SwitchySharp: es una extensión proxy que ayuda a administrar y cambiar entre múltiples proxies rápidamente. También tiene una opción para cambiar de proxy automáticamente basándose en la URL y puede importar o exportar datos fácilmente.
  • Cookie Editor: una buena extensión para editar las cookies. Esta herramienta es realmente útil mientras se secuestran sesiones y permite borrar, editar, agregar o buscar cookies. También permite a los usuarios proteger, bloquear o exportar cookies en json. Esta extensión viene por defecto con anuncios (que pueden desactivarse) pero todos los ingresos van a Unicef para ayudar a los niños en todo el mundo.
  • Cache Killer: esta extensión limpia automáticamente el caché del navegador antes de cargar las páginas. Se puede activar o desactivar fácilmente con un solo clic. Es útil para pasar por alto la caché del navegador y ver el sitio web en caso de que haya cambiando. Muy útil para los desarrolladores web.
  • XSS Rays: es una extensión que ayuda a encontrar vulnerabilidades XSS en un sitio web. Comprueba si hay inyecciones e inspecciona objetos y también puede extraer, ver y editar fácilmente los formularios de forma no destructiva incluso si los formularios no pueden editarse. Muchos pentesters usan esta extensión como una herramienta de prueba XSS dedicada. Es un escáner XSS en JavaScript puro.
  • WebSecurify: es una herramienta de seguridad web multiplataforma que se ejecuta directamente desde el navegador. Es capaz de encontrar XSS, XSRF, CSRF, inyecciones SQL, subida de archivos, redirecciones de URL y varias otras vulnerabilidades de seguridad. Tiene un crawler incorporado que escanea y rastrea las páginas.
  • Port Scanner: esta extensión agrega la capacidad de escanear puertos TCP al navegador. Port Scanner analiza cualquier dirección IP o dirección URL y luego busca los puertos abiertos. También está disponible para Opera y Mozilla Firefox.
  • XSS chef: ayuda a identificar vulnerabilidades XSS en aplicaciones web. Es similar a BeEF, pero para los navegadores. Realiza las siguientes tareas:

Monitoriza las pestañas abiertas de las víctimas
Ejecuta JS en cada pestaña (XSS global)
Extrae HTML, lee/escribe cookies (también httpOnly), almacenamiento local
Obtiene y manipula el historial del navegador
Mantiene la persistencia hasta que se cierre el navegador completamente (o incluso más si puede persistir en el almacenamiento local de las extensiones)
Hace una captura de pantalla de la ventana de víctimas
Explotación adicional, por ej. mediante hooks BeEF, keyloggers, etc.
Explora el sistema de archivos a través de file://
Evade el sandbox de contención de scripts de extensiones de Chrome para interactuar directamente con el JS de la página

  • HPP Finder: es útil para encontrar la vulnerabilidad HTTP Parameter Pollution (HPP) y explotarla. Esta herramienta puede detectar y explotar fácilmente los formularios HTML o URLs que podrían ser susceptibles de ataques de contaminación de parámetros HTTP.
  • The Exploit Database: no es una herramienta de pentesting en sí, pero ayuda a mentenersse actualizado con todas las últimos exploits, shellcodes y documentos técnicos disponibles en Exploit-DB. Se trata de una herramienta de código abierto y el código fuente se puede encontrar aquí: http://github.com/10n1z3d/EDBEAdd
  • GHDB: esta extensión ayuda a realizar las consultas necesarias para encontrar páginas específicas basadas en parámetros especiales de búsqueda de Google (dorks).
  • iMacros for Chrome: Mientras se realizan varias pruebas en páginas web es posible que se necesite automatizar algunas tareas repetitivas en la web. Para ello, se puede utilizar iMacros.
  • IP Address and Domain Information: se trata de una extensión de recopilación de información que puede ayudar a encontrar la ubicación geográfica, DNS, whois, enrutamiento, resultados de búsqueda, alojamiento, domain neighbors , DNSBL, BGP y ASN información de cada dirección IP (IPv4 e IPv6)

Fuente: InfoSec Institute

Etiquetas: , , ,

 
0

Google Chrome, Versión 8

Posted by maltamir on Dic 9, 2010 in Actualidad

Luego de haber descargado la nueva versión que nos trae Google de su navegador y usarla, puedo decir que he experimientado algunos cambios bastantes representativos. Anteriormente se pasaba cayendo un script del navegador y eso hacía que la ventana se cierre adicionalmente he podido leer directamente desde la misma ventana del navegador todos los archivos PDF que recibo, cosa que antes necesariamente lo tenía que descargar y todo esto gracias a que ahora ya vienen incluidos ciertos plugins.

Por otro lado, más de 800 bugs han sido reparados, y se han puesto bastante empeño en reforzar la estabilidad del navegador.

Para más información, visita el blog oficial de Google Chrome >>

Descargar la versión más reciente de Google Chrome >>

Etiquetas: , , ,

 
0

Versión especial del Navegador Google Chrome.

Posted by maltamir on Ago 6, 2010 in Actualidad

Como es de esperarse el gigante Google ha lanzado una nueva versión de su navegador, la misma que se llama «Google Chrome Canary Build».

Además Google pone a disposición de todos los usuarios que deseen probar las capacidades más novedosas de las versiones en desarrollo la versión Chrome Canary, la misma que es un poco inestable pero ideal para ir probando las nuevas características .

El desarrollo de esta nueva versión es un intento de competir y mejorar su vulnerabilidad en cuanto a seguridad y adicionalmente mejorar en algo la cuota en el mercado que hasta ahora ha reducido con respecto a IE.

No queda más que esperar esta nueva versión.!!!

Etiquetas: , , , , , ,

 
0

Traducción automática en Google Chrome.

Posted by maltamir on Jun 30, 2010 in Actualidad

Hace algunos días me pude dar cuenta que luego de la actualización de mi navegador Google Chrome cada vez que navego me aparece una pequeña barra en la que me sugiere si deseo traducir la página en la que me encuentro,  me llamó bastante la atención e intenté probar la traducción que me brinda mi navegador y me pude dar cuenta de que efectivamente tradujo al español la web, puedo dar fe de que la traducción implementado por Google Chrome es muy buena y que para aquellas personas que no manejan el idioma les será de mucha utilidad.

Luego de navegar, investigar y leer acerca de dicho servicio de Google me pude dar cuenta de que han liberado la versión 4.1.249.1036 y que aparte de dicho servicio tapa algunos agujeros de seguridad que se tenían en versiones anteriores.

Google Chrome 4.1 incorpora también un ajuste a las preferencias de privacidad. Una de las principales razones para actualizar Chrome es que la nueva versión elimina ocho vulnerabilidades del navegador. Para el caso de la mayoría de los usuarios, la actualización es automática.

Les recomiendo usar dicha herramienta que les será de gran utilidad con el tiempo, ya que también existe la traducción a otros idiomas no sólo al ingles.

Etiquetas: , ,

 
0

Traducción automática en Google Chrome.

Posted by maltamir on Mar 20, 2010 in Actualidad

El día de ayer me pude dar cuenta que luego de la actualización de mi navegador Google Chrome cada vez que navego me aparece una pequeña barra en la que me sugiere si deseo traducir la página en la que me encuentro,  me llamó bastante la atención e intenté probar la traducción que me brinda mi navegador y me pude dar cuenta de que efectivamente tradujo al español la web, puedo dar fe de que la traducción implementado por Google Chrome es muy buena y que para aquellas personas que no manejan el idioma les será de mucha utilidad.

Luego de navegar, investigar y leer acerca de dicho servicio de Google me pude dar cuenta de que han liberado la versión 4.1.249.1036 y que aparte de dicho servicio tapa algunos agujeros de seguridad que se tenían en versiones anteriores.

Google Chrome 4.1 incorpora también un ajuste a las preferencias de privacidad. Una de las principales razones para actualizar Chrome es que la nueva versión elimina ocho vulnerabilidades del navegador. Para el caso de la mayoría de los usuarios, la actualización es automática.

Les recomiendo usar dicha herramienta que les será de gran utilidad con el tiempo, ya que también existe la traducción a otros idiomas no sólo el ingles.

Etiquetas: , ,

 
0

Chrome OS, el nuevo Sistema Operativo de Google.

Posted by maltamir on Jul 13, 2009 in Actualidad, Avances Tecnológicos


chrome-osLuego de tanta espera y más allá de cualquier conjetura, al fin la gente de Google acaba de confirmar la próxima salida de un sistema operativo que promete sorprender.

A diferencia de los sistemas actuales que fueron diseñados en un momento donde no existía la web, el vocero de Google afirmó que el nuevo SO está destinado especialmente a aquellos que viven a través de Internet.

Google Chrome OS es un sistema operativo open source que se abrirá a la comunidad de desarrolladores. Según se estima, será visto primero en netbooks para pasar al mercado global a mediados de 2010.

Más rápido y simple

Las premisas del sistema son velocidad, simplicidad y seguridad. La velocidad espera acelerar y optimizar la conexión a la red de redes, la simplicidad se verá en su diseño minimalista, mientras que los temas seguridad se centraron específicamente en evitar virus, malware y actualizaciones.

No nos olvidemos que el este nuevo sistema operativo está pensado casi exclusivamente para aquellas personas que trabajan prácticamente a través de Internet. Estas personas, según los voceros de Google, “necesitan nuevas y mejores computadoras preparadas para estas necesidades. Necesitan que sus máquinas sean siempre igual de rápidas que el día en que las compraron, evitando configuraciones”.

Cómo serán las aplicaciones para este SO

El SO funcionará inicialmente con microprocesadores x86 y ARM y Google ya está trabajando con varias empresas de hardware para poder introducir su sistema operativo al mercado este mismo año (en netbooks).

La arquitectura del software es simple: un sistema de ventanas basado en Linux. Lo mejor es que al serweb-based, cualquier aplicación para la web será compatible con el SO de Google.

Los desarrolladores deberán pensar definitivamente en la plataforma web a la hora de crear aplicaciones para el Chrome OS. De esta manera, cualquier aplicación para Chrome OS también podrá ser utilizada a través de cualquier navegador, en otros sistemas operativos.

Cómo se beneficia Google

“Cada vez que nuestros usuarios tengan una mejor experiencia con sus computadoras, Google también se benecia teniendo usuarios más felices que serán más propensos a pasar su tiempo en Internet” dijo la gente de Google en un tono un tanto ingenuo.

La empresa agregó que necesitará todo el apoyo de la comunidad open source para que este proyecto se haga realidad. Mientras tanto, sólo nos queda aguardar con mucha expectativa y entusiasmo el SO que posiblemente marcará una nueva era en sistemas operativos y cambiará nuestra relación con Internet.

Fuente: Official Google Blog

Etiquetas: , , , ,

 
0

La batalla de los navegadores: Firefox 3.1 vs. Chrome vs. IE 8 vs. Safari 3.1.2 vs Opera

Posted by maltamir on May 7, 2009 in Actualidad

4_NAVEGADORES_TENORES.jpgLa segunda versión Alpha de Firefox 3.1 de Mozilla está llevando el juego más allá en la batalla de los navegadores de próxima generación. ¿Cómo van los competidores? Una cosa es cierta, el equipo de Firefox tomó nota de la publicación de Chrome y ha trabajado duro para hacer que su oferta sea buena. Mozilla ya ha dicho que su versión 3.1 rebasaba a Chrome cuando se trataba de velocidad. Ahora, los ingenieros han incorporado las opciones iniciadas por Chrome, tal como la habilidad de arrastrar las pestañas dentro y fuera de las ventanas del navegador. El segundo Alpha también añade soporte para la etiqueta vídeo de HTML 5, la cual le da a los desarrolladores opciones expandidas para integrar vídeo dentro de una página. No olviden, también, que el nuevo Internet Explorer 8 beta 2 de Microsoft fue publicado a finales de Agosto y fue eclipsado rápidamente por la introducción de Chrome sin olvidar a Safari. Aquí hay una lista de lo bueno y lo malo de cada uno de los navegadores.

Contendiente #1: Google Chrome

googlechrome_logo_175.jpgEl estatus: Publicado el 2 septiembre para windows como beta. Las versiones para Mac OS X y Linux están en desarrollo y se dice que llegarán pronto. No hay indicación de una fecha de publicación.

Lo bueno:
Es confiable. La arquitectura multiproceso de Chrome hace que una mala página de Web no colgar al navegador entero.

  • Velocidad: Chrome se carga rápido y mantiene tu velocidad de navegación superrápida.
  • Simplicidad: Es limpio y no gasta espacio de pantalla.
  • Búsqueda. La omnibox hace que las búsquedas de términos y URL estén en el mismo lugar y sabe qué es lo que quieres.
  • Privacidad: Chrome ofrece un modo «incógnito» que te permite no dejar huellas de en dónde haz estado.

    • Lo malo:

  • Privacidad: Chrome ha sido acusado de monitorizar y coleccionar datos de usuario, algo de lo cual sucede incluso antes de que aceptes con una tecla.
  • Seguridad: No tomó mucho a los usuarios encontrar vulnerabilidades en el navegador beta. Varios de estos ya han sido parchados.
  • Confiabilidad: Algunos de los sitios y servicio no funcionan con Chrome.
  • Consistencia. Ya que Chrome está construido en el sistema WebKit difiere de otras plataformas dominantes.
  • Soporte. Chrome aún no tiene add-ons o personalización. Aún está por verse cómo se comprarán con los que Firefox ya ofrece.

    • Contendiente #2: Firefox 3.1

    Firefox_Icon_175.pngEl estatus: El segundo Alpha fue publicado el 5 de septiembre. Se espera que sea publicado el próximo mes y que su publicación completa esté lista al final de 2008.

    Lo bueno:

  • Fuertes cimientos. Mozilla tiene muchos seguidores leales con Firefox, y no tiene la intención de dejar eso ir. Con Firefox 3.1 espera una fuerte biblioteca de poderosos addons y soporte.
  • Velocidad. Mozilla dice que su plataforma de JavaScript, Trace Monkey, que aún está en desarrollo, será más rápido que el V8 de Google. El segundo alpha soporta esto también, con más soporte para los «web workers» – un sistema que permite que múltiples scripts corran al mismo tiempo en el fondo.
  • Filo competitivo. Los desarrolladores de Mozilla tienen buena razón para observar lo que Chrome está haciendo – y trabajar para mejorarlo.

    • Lo malo:

  • Cuestiones de seguridad. Algunos estudios han sugerido que Firefox con sus frecuentes nuevas versiones es más susceptible a amenazas que otras opciones.
  • Potencial de Cuelgue. A diferencia de Chrome, Firefox no tiene un ecosistema distinto para cada pestaña – así que una mala página cuelga todo el navegador.
  • Soporte. Firefox ha trabajado duro para obtener su cuota de mercado, así que las predicciones muestran que Chrome gane más usuarios de IE.

    • El enfoque de Google en Chrome también quitará parte de su enfoque en los esfuerzos de Mozilla. ¿Podrá Firefox mantenerse como un participante clave en la guerra de los navegadores?

    Contendiente #3: Internet Explorer 8

    ie81ZNq.jpgEl estatus. El segundo beta fue publicado el 27 de agosto. Se espera la publicación competa para finales de 2008.

    Lo bueno:

  • Soporte. Lo ames o lo odies, Internet Explorer tiene tres cuartas partes del mercado. Los desarrolladores y diseñadores lo tomarán en cuenta.
  • Privacidad. IE 8 tiene un modo privado que no deja registro, InPrivate Browsing.

    • Búsqueda. La Smart Address Bar ofrece funcionalidad similar a la Omnibox de Chrome, permitiéndote poner búsquedas o urls.

  • Más add-ons. IE 8 finalmente alcanza a Firefox con su nueva «Galería» de opciones de terceros.

    • Lo malo:

  • Velocidad. Las pruebas han mostrado que IE8 es significativamente más lento que las otras opciones.
  • Recursos. IE8 usa mucha memoria en comparación con sus competidores.
  • Potencial de Cuelgue. Mientras que IE 8 usa procesos separados para las pestañas, como Chrome, no lo hace de la misma manera, dejando lugar para un cuelgue completo.
  • Preguntas de competencia. Algún día los add-ons de IE alcanzarán los de Firefox? Algunos ya mencionan que los usuarios tienen problemas para hacerlos funcionar siquiera.

    • Contendiente #4: Safari 3.1.2

    Safari 3.2.1 es la última versión del navegador de Apple. Disponible para Mac y PC, ha recibido una buena acogida por parte de los usuarios de Apple que lo usan de forma pródiga. Desde sus primeras versiones ha avanzado mucho y su experiencia de usuario es bastante buena.

    Lo bueno:
    Safari_Icon_175.png

  • Soporte: Apple tiene muy en cuenta que Safari es una pieza estructural más dentro de la arquitectura de la empresa. En general una buena experiencia de usuario.
  • Velocidad: es razonable rápido renderizando páginas
  • Privacidad: cuenta con un modo seguro de navegación. Puede ser controlado remotamente para control parental
  • Seguridad: Bastante o muy seguro. Pocas actualizaciones, bien dirigidas y pocos avisos de problemas de seguridad para la aplicación
  • Integración: Integrado con los diferentes servicios del sistema y sincronización

    • Lo Malo:

  • Búsquedas: restringidas a un único motor: Google
  • Potencial de Cuelgue. A diferencia de Chrome, Safari no tiene un ecosistema distinto para cada pestaña – así que una mala página cuelga todo el navegador.
  • Extras: Safari no tiene una arquitectura muy abierta para añadir plugins y hay relativamente pocos extras para este navegador, frente a las opciones de FireFox o IE
  • Compatibilidad: empañada en algunas ocasiones por problemas de compatibilidad con el diseño de algunas webs

    • Contendiente #5: Opera

    opera_icon.jpgLo bueno

  • Velocidad: Opera es uno de los navegadores más rapidos en renderizar páginas web.
  • Búsquedas: Opera cuenta con su propio omniboxdesde hace mucho, y puede añadirsele cualquier campo de búsqueda de cualquier web (no sólo motores de búsqueda sino también blogs, periodicos online…).
  • Innovación: Opera siempre se ha caracterizado por su afán innovador.
  • Soporte: el poder de Opera puede llevarse a cualquier dispositivo conectado a internet: ya sea un ordenador, un móvil, consola, reproductor de mp3…

    • Lo malo:

  • Fiabilidad: muchos sitios (la mayoría diseñados para Internet Explorer) no funcionan o lo hacen parcialmente.
  • Personalización: Opera en sí y su aspecto son bastante personalizables, pero carece de una estructura de extensiones al estilo Firefox, algo que a día de hoy es casi imperdonable.
  • Cuota de mercado: es reducida y el número de usuarios nuevos (en su version para ordenadores) es escaso, con lo cual suele quedar, digamos «fuera de las estadísticas».
    • Fuente: Infoworld. La parte relacionada con Safari pertenece a www.faq-mac.com. la parte de Opera a un amable lector.

    Etiquetas: , , , , , , ,

    Copyright © 2024 THE MAAD BLOG All rights reserved. Theme by Laptop Geek.