Kali Linux – Herramientas de prueba de penetración web

Posted on by Rudeus Greyrat

Para 2016, había alrededor de 3424971237+ usuarios de Internet en todo el mundo. Al ser un centro de muchos usuarios, surge la responsabilidad de cuidar la seguridad de estos muchos usuarios. La mayor parte de Internet es la colección de sitios web o aplicaciones web. Entonces, para prevenir estas aplicaciones web, es necesario probarlas nuevamente con cargas útiles y malware y, para ese propósito, tenemos muchas herramientas en Kali Linux.

Kali Linux viene con más de 300 herramientas , muchas de las cuales se utilizan para pruebas de penetración web. Aunque hay muchas herramientas en Kali Linux para pruebas de penetración web, aquí está la lista de las herramientas más utilizadas.

1. Suite para eructar

Burp Suite es uno de los software de prueba de seguridad de aplicaciones web más populares. Se utiliza como proxy, por lo que todas las requests del navegador con el proxy pasan por él. Y a medida que la solicitud pasa por Burp Suite, nos permite realizar cambios en esas requests según nuestra necesidad, lo que es bueno para probar vulnerabilidades como XSS o SQLi o incluso cualquier vulnerabilidad relacionada con la web. Kali Linux viene con la edición comunitaria de Burp Suite, que es gratuita, pero hay una edición paga de esta herramienta conocida como Burp Suite Professional, que tiene muchas funciones en comparación con la edición comunitaria de Burp Suite.

Para usar la suite burp:

  • Lea esto para aprender a configurar Burp Suite.
  • Abra la terminal y escriba » burpsuite » allí.
  • Vaya a la pestaña de proxy y encienda el interruptor del interceptor.
  • Ahora visite cualquier URL y se podría ver que la solicitud está capturada.

    burp_suite

2. Nikto

Nikto es un software de código abierto escrito en lenguaje Perl que se utiliza para escanear un servidor web en busca de vulnerabilidades que puedan explotarse y comprometer el servidor. También puede verificar los detalles de versiones obsoletas de 1200 servidores y puede detectar problemas con detalles de versiones específicas de más de 200 servidores. Viene repleto de muchas características, algunas de ellas se enumeran a continuación.

  • Soporte completo para SSL
  • busca subdominios
  • Admite proxy HTTP completo
  • Informe de componente obsoleto
  • Adivinando nombre de usuario

Para usar nikto, descargue nikto e ingrese el siguiente comando.

perl nikto.pl -H

Nikto

3. maltego

Maltego es una plataforma desarrollada para transmitir y presentar una imagen clara del entorno que posee y opera una organización. Maltego ofrece una perspectiva única tanto para la red como para las entidades basadas en recursos, que es la agregación de información entregada a través de Internet, ya sea la configuración actual de un enrutador colocado en el borde de nuestra red o cualquier otra información, Maltego puede ubicar, agregar y visualizar esta información. Ofrece al usuario información sin precedentes que es apalancamiento y poder.

Usos de Maltego:

  • Se utiliza para exhibir la complejidad y la gravedad de los puntos únicos de falla, así como las relaciones de confianza que existen actualmente dentro del alcance de la infraestructura.
  • Se utiliza en la recopilación de información sobre todo el trabajo relacionado con la seguridad. Ahorrará tiempo y nos permitirá trabajar con mayor precisión y de forma más inteligente.
  • Nos ayuda en el proceso de pensamiento al demostrar visualmente los vínculos interconectados entre los elementos buscados.
  • Proporciona una búsqueda mucho más poderosa, dando resultados más inteligentes.
  • Ayuda a descubrir información “oculta”.

Para usar Maltego, vaya al menú de aplicaciones y luego seleccione la herramienta » maltego » para ejecutarlo.

maltego

4. Mapa SQL

SQLMap es una herramienta de código abierto que se utiliza para automatizar el proceso de inyección SQL manual sobre un parámetro en un sitio web. Detecta y explota los parámetros de inyección de SQL en sí mismo, todo lo que tenemos que hacer es proporcionarle una solicitud o URL adecuada. Admite 34 bases de datos, incluidas MySQL, Oracle, PostgreSQL, etc.

Para usar la herramienta sqlmap:

  • sqlmap viene preinstalado en Kali Linux
  • Simplemente escriba sqlmap en la terminal para usar la herramienta.

    sqlmap

5. Whatweb

Whatweb es un acrónimo de » qué es ese sitio web «. Se usa para obtener las tecnologías que usa un sitio web, estas tecnologías pueden ser un sistema de administración de contenido (CMS), bibliotecas de Javascript, etc. Se usa para muchos propósitos, algunos de ellos se enumeran a continuación.

  • Para conseguirlo se utiliza el Sistema de Gestión de Contenidos mediante una aplicación web
  • Para obtener los detalles del servidor web que utiliza la aplicación web
  • Para conectar los dispositivos integrados a la aplicación web
  • Consta de más de 1700 complementos y cada complemento se usa para reconocer algo diferente.

Para ejecutar whatweb, ejecute el siguiente comando y reemplace google.com con el nombre de dominio de su elección.

whatweb google.com

whatweb

6. búsqueda whois

whois es un registro de base de datos de todos los dominios registrados en Internet. Se utiliza para muchos propósitos, algunos de ellos se enumeran a continuación.

  • Los administradores de red lo utilizan para identificar y solucionar problemas de DNS o relacionados con el dominio.
  • Se utiliza para comprobar la disponibilidad de nombres de dominio.
  • Se utiliza para identificar la infracción de marca registrada.
  • Incluso podría usarse para rastrear a los registrantes del dominio Fraud.

Para usar la búsqueda whois, ingrese el siguiente comando en la terminal.

whois geeksforgeeks.org

Reemplace geeksforgeeks.org con el nombre del sitio web que desea buscar.

whois

Publicación traducida automáticamente

Artículo escrito por manav014 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *