Tag Archive for pentest

Curso Hacking Android – ¡Novedad!

Hoy traemos una novedad que seguramente os guste a la mayoría. Se trata de un nuevo curso de hacking ético. Esta vez le ha tocado el turno a Android.

Pese a la grandísima aceptación que han tenido y están teniendo nuestros cursos de Hacking Web, Wifi y de Sistemas y Redes (Básico y Avanzado) queremos, con este nuevo curso, dar un extra más de valor a nuestra CyberAcademy de Hacking Ético.

Para ello hemos contado con todo un profesional y experto Android como es Eduardo Sánchez, el cual, será el Tutor del curso, que comenzará el próximo 6 de Junio.

Curso Hacking Android

Los objetivos de este curso, de nivel medio-avanzado, son que el alumno conozca las técnicas de hacking ético en Android con el fin de poder aplicarlas a la hora de detectar posibles fallos de seguridad en nuestros dispositivos y aplicaciones, lo que le permitirá saber qué contramedidas se deberán implementar para solucionar y mitigar los posibles riesgos.

  • El alumno aprenderá de manera práctica:
  • Conceptos básicos sobre la arquitectura Android.
  • Uso de herramientas para interactuar con el sistema operativo Android.
  • Acceso al dispositivo por medio de diferentes protocolos.
  • Reversing de código fuente.
  • Análisis de aplicaciones maliciosas.
  • Análisis forense de aplicaciones y del dispositivo Android.
  • Pentesting de aplicaciones Android con Drozer.
  • Vulnerabilidades más conocidas en Android.
  • Uso de Metasploit con Android.

Os dejamos la ficha técnica para que os informéis más detalladamente de como va a ser el curso y que materia se impartirá, así como las fechas de esta primera edición, que llamaremos “Apple Pie” en honor a la primera versión Android aunque es importante aclarar, que solo es un nombre simbólico, ya que se trabajarán con las últimas versiones Android. Por si acaso, lo aclaramos 😉

Si queréis proceder al inicio de la inscripción, solo tenéis que clicar aquí o en la sección Cursos de Seguridad Informática de nuestro blog y al final, veréis un formulario de contacto (poned datos reales, será para todos más rápido el registro).

Happy Hacking!

Auditando Aplicaciones en Android

Vamos a ver algunos ejemplos de controles que se llevan a cabo en un Pentesting de Aplicaciones en Android. Lo más importante en un proceso de auditoría será el hacer uso de una metodología, de tal forma que podamos llevar a cabo una serie de pasos de manera ordenada.

Os propongo que hagamos uso de la metodología OWASP, concretamente en su apartado de OWASP Mobile Security Project podemos encontrarnos con muchos recursos: herramientas, guía de desarrollo seguro, plantilla de controles, guía de testing de Apps… Centrándonos en esta última podemos dividir nuestra auditoría en tres partes: recopilar información, análisis estático y análisis dinámico. Read more

Pentesting con GoLismero

Tras un parón considerable en nuestro Blog, casi justificado por las vacaciones de los que escribimos en Hacking Ético, volvemos para haceros llegar una herramienta que la mayoría conocéis pero como nuestra intención es que todo lo que esté en nuestra mano llegue a todos nuestros lectores, vamos a mostraros que es GoLismero.

Es una herramienta para automatizar las tareas de pentesting en sitios Web aunque también es posible usarlo e integrarlo para realizar pentesting de servidores. Por ejemplo, puede adaptarse a OpenVAS para realizar escaneo de vulnerabilidades a determinadas IPs.

Este Framework ha sido creado por Daniel García (@ggdaniel) “backend developer”, Mario Vilas (@MarioVilas) “Core developer y Raúl Requero “Frontend developer” y es opensource.

Es una herramienta muy completa, creada en Python por lo que no necesita dependencias. Incluso en su día lo probé en Windows aunque también funciona (o debería) en OS X y por supuesto en Linux.

logo-wide copia

Read more

iOS Hacking: preparando entorno de pruebas

Con este artículo estrenaré una nueva serie de entradas llamada iOS Hacking dedicada a todo lo relacionado con el pentesting de dispositivos y aplicaciones iOS, que como sabéis es el sistema operativo usado por los dispositivos de Apple.

Cada vez son más los dispositivos móviles que utilizamos día a día, ya sean smartphones o tablets. Lo hacemos para consultar nuestro correo electrónico, redes sociales, jugar o ver vídeos online. Son muchas las aplicaciones nuevas que aparecen todos los días, por lo tanto creemos que este tema se merece un espacio en nuestro blog.

Como no podía ser de otra forma, en este primera entrada explícaremos cómo preparar un entorno de pruebas de intrusión en un dispositivo con sistema operativo iOS. Al igual que en Android necesitamos rootear el dispositivo para tener acceso al sistema de ficheros o conseguir una elevación de privilegios, en un iPhone o iPad ocurre lo mismo. En este caso se le atribuye el concepto de romper la jaula (jail), de ahí que a esta técnica se le conozca como JailBreak. Esta técnica, además de lo comentado anteriormente, nos proveerá de un nuevo gestor de paquetes, Cydia.

Cydia - iOS Hack

¿Por qué necesitamos hacer JailBreak? Básicamente porque necesitamos acceder a todo el sistema de ficheros, sin ningún tipo de limitación, necesitamos poder monitorizar aplicaciones y procesos y necesitamos más permisos que los que vienen por defecto, que son muy limitados. En realidad, lo se hace es una elevación de privilegios del usuario mobile a root.

Hay muchísimos sitios Web donde se explica cómo hacerlo, no entra en el ámbito de estos artículos explicar cómo hacer un JailBreak a un dispositivo iOS. Read more