miércoles, 10 de octubre de 2012

Google Hacking automático.Site Digger

Que Google es una herramienta más, por no decir de las mejores, para el escaneo pasivo de nuestros proyectos de pentest, es una realidad. Que hay muchas aplicaciones que recolectan este tipo de información, pues también es verdad. Que la mayoría de "scanners de vulnerabilidades webs" tiran de los famosos Dorks, más de lo mismo.

Hoy os presento Site Digger, de  Symantec !!!
El concepto es simple, busca ficheros y "cadenas de texto" en búsquedas relativas a un sitio, en busca de los fallos, o simplemente de la identificación de un servicio, de un CMS, tecnología y demás.

Apenas tiene configuración, Proxy y demás. Lo que no sé es para que meter un proxy, si las búsquedas las hace desde google... habrá que investigar si hace alguna otra comprobación, aunque lo dudo.

Para recordar un poco de conceptos sobre proxys y Tor como hicimos anteriormente, recordar que aunque tengáis instalado Vidalia para usar en vuestros Windows la navegación mediante redes tor, si no hacemos nada, Tor es un proxy Socks, de conexiones, y no un http proxy, por lo que si queremos usar "anonimato" al usar Site Digger, debemos usar por ejemplo POLIPO.

Gracias por leerme y dentro de poco volveré con unos post un poco más interesantes que este, ando Full de trabajo y proyectos.