Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Google Hacking: El arte de saber buscar

Todo proceso de Pentesting inicia con el la recolección de información del objetivo, pues para esto tenemos que usar todo lo que este en nuestras manos y una muy buena herramienta para esto son los buscadores
by

Diego Espitia

on 29 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Google Hacking: El arte de saber buscar

CONCLUSIONES Lo primero que tienes que tener en cuenta es que ningún vector para obtener información de un objetivo se puede despreciar. Qué es??? GOOGLE HACKING Es el arte de usar correctamente los motores de búsqueda que están en Internet, sin importar como se llamen, aunque el más común es Google y por esto el nombre de la técnica. GOOGLE : Motor de búsqueda más usado en el mundo, tiene más de 14 años de estar on-line y por medio de operadores básicos y avanzados permite encontrar información que se encuentra en los diferentes sitios web de Internet BING : Motor de búsqueda de Microsoft que nace para competir con Google y para esto implementa un manejo diferente de los operadores, adicionando o modificando el comportamiento de estos. SHODAN : Es un buscador especial, que no se basa en el contenido sino en la cabecera de los servicios para identificar que tiene cada servidor o dirección IP detectada o solicitada. Todos los buscadores nos permiten usar operadores para realizar las consultas, no todos usan los mismos ni funcionan igual pero vamos a ver unos ejemplos EL ARTE DE SABER BUSCAR Para que se usa
en pentesting??? Una de las primeras fases de un análisis de seguridad es llamado Information Gathering. Que le permite al analista generar un perfil de su objetivo Que buscar ???? Realmente esto lo define el analista, pero puedes encontrar virtualhost, SQLi, hojas de vida, configuraciones, etc....... Los más básicos son: * -- Reemplaza una simple palabra " " + - -- Operador boleano para negación (not) | -- Operador boleano de adición (or) -- Lo que este entre estos se busca específicamente -- Operador para forzar que la búsqueda estén todos los datos que se solicitan (and) Operadores Avanzados intext : Busca un TEXTO dentro de un sitio web allintext : Busca un varias palabras dentro de un sitio web filetype : Busca archivos de un tipo especifico (pdf, xls, doc, ...) site - domain : Busca dentro de un dominio especifico inurl : Busca una palabra dentro de la URL del sitio allinurl : Busca varias palabras dentro de la URL del sitio cache : Busca un sitio dentro del cache de google link : Busca los enlaces que referencia a un sitio info : Muestra la información de un sitio ip : Muestra los sitios que estén configurados en la IP que se indique www.shodanhq.com www.google.com www.bing.com contains : Muestra los sitios que contienen enlaces de la extensión que se indica buscar loc : Los resultados se basan en la ubicación geografica sql domain:avianca.com vinos+argentinos loc:CO ip:50.2.34.12 inurl:admin intext:username=+email=+password=|pass= filetype=xls|xlsx domain:tusitio.co inurl=phpmyadmin/index.php intext:"[ Edit] [ create PHP code]" COMO REALIZAR UNA BÚSQUEDA Ejemplos intext:hoja+vida site:gob.ve filetype:pdf allintext:buscadores hacking etico http://msdn.microsoft.com/en-us/library/ff795620.aspx http://www.googleguide.com/advanced_operators.html Como cada uno de los buscadores tiene ventajas especificas sobre los otros, es bueno aprovecharlas para obtener un mejor perfil del objetivo Information Gathering es uno de los pasos más importantes en el desarrollo de un pentesting, por lo que es fundamental que tengas varias herramientas que te ayuden a desarrollarlo correctamente. Existen sitios web donde están ya desarrollados varios requerimientos para encontrar información especifica sobre contraseñas, configuraciones por defecto y demás, estas bases de datos son llamadas Dorcks. GRACIAS........ Diego Espitia
@dsespitia
http://diegosamuel.blogspot.com
Full transcript