martes, 26 de junio de 2018

Generación de diccionario de usuarios tipo jmolina@ gracias a linkedin scraping.

Estimados amigos de Inseguros !!!

Una de las opciones que tenemos a la hora de realizar un pentest o auditoria es la fuerza bruta.

Debemos detectar aquellos sistemas que no protegen de ataques de este tipo, pero debemos ir un paso más allá e intentar demostrarlo mediante la obtención de una clave válida.

Ahora vamos a imaginarnos un escenario de auditoria bastante común en las empresas, los nombres de usuario.

Conoces alguna empresa en la que la nomenclatura del usuario sea napellido@  o n.apellido@ ?

Contar con un diccionario de este tipo sin duda te ayudará para detectar usuarios.

Si a esto le sumas la capacidad de usar las redes sociales corporativas, como pueda ser Linkedin, para realizar un proceso de búsqueda de empleados que trabajan en la empresa objetivo, podemos crear un diccionario de usuarios más acercado a la realidad que uno descargado de internet con los ene mil nombres de usuario más comunes...



Para realizar la tarea de scrapping linkedin puedes usar esta herramienta muy cómoda.

https://github.com/test4a/linkScrape

No usa ni API ni nada sofisticado, te pide tu usuario y contraseña linkedin para poder acceder...



Ahora podemos usar la magia del lenguaje de programación que más te guste para combinar nombres y apellidos en una lista usable.

Durante varios procesos he creado una lista con nombre +apellido de los apellidos más habituales, creo que es útil para completar con tu proceso de scrapping de linkedin.

Si quieres descargar mi lista la tienes en mi github:

https://github.com/kinomakino/hackingtools/tree/master/diccionarios

Espero que te sirva !!!

Gracias por leerme !!