28 julio 2012

Que onda pensadores, hace poco estaba hablando con un amigo sobre aplicaciones que nos podrían facilitar el testeo de seguridad web, y me menciono "Mantra".

Hoy les comentare un poco acerca de esta aplicación que se ve bastante prometedora.


Mantra  (OWASP Mantra Security Framework) es una aplicación de código abierto que cuenta con herramientas hacking. add-ons y scripts basados en firefox y chromium. Este "toolkit" esta enfocado en general a personas interesadas en el ámbito de la seguridad web, bien pueden usarla desde personas que apenas están empezando o personas que ya tengan mucha experiencia en el tema(para los que están acostumbrados en usar BackTrack les resultara familiar).

Para descargar Mantra diríjanse a su sitio oficial http://www.getmantra.com/ , afortunadamente la aplicacion esta en varios idiomas y para las plataformas Linux, Windows y Mac. Yo la descargue en Windows , el archivo ejecutable que descarguen le dan doble click y escogen donde instalarlo.
Nota: no pongan como carpeta de instalación la ruta donde los archivos se instalan por default, es decir no pongan: "C:\Program Files", ya que al querer ejecutar el programa les mostrare un mensaje en ingles donde te piden darle permisos a la ejecución y mas o menos te dan a entender que los archivos que genere la aplicación estarán vulnerables (cosa que no me pareció). Es mejor que escojan otra carpeta dentro de sus documentos o descargas.

-Ya que ejecuten el archivo la interface que les mostrara sera así:


Las herramientas que ofrece Mantra se agrupan en las siguientes categorías :


  • Recopilación de Información: En este grupo podrán encontrar add-ons para obtener información especifica de la aplicaciones web , como su dirección ip, la ubicacion fisica del servidor(FlagFox), mostrar los archivos que fueron cargados para mostrar la pagina, ir directamente el acceso a los scripts y hojas de estilo incluidos en la página web actual(JSView), destapa tecnologías de base utilizadas en sitios web como la CMS, sistemas de comercio electrónico, frameworks de JavaScript, etc herramientas de análisis(Wappalyzer).
  • Editores: Herramientas para editar y depurar código (Firebug) 
  • Utilidades de red: Estas aplicaciones nos permitirán utilizar un cliente FTP/SFTP(Fire FTP), un cliente SSH(Fire SSH), manejar base de datos SQLite(SQLite Manager), controlar la Cache de  DNS, supervisar todo el trafico entrante y saliente HTTP entre el navegador y los servidores web(HTTP Fox).
  • Miscelánea: Aplicaciones que tienen como objetivo complementar o facilitar el uso de otras aplicaciones, aca podemos encontrar add-ons como Greasemonkey, Greasefire, FlipperURL, Session Manager, CacheToggle, entre otras.....
  • Solicitud de Auditoria: Como su nombre lo indica en este grupo encontraremos aplicaciones que facilitan la auditoria de vulnerabilidades, incluso ver y editar las cookies, analizar los XSS, algunas de las aplicaciones son TamperData, RESTClient, SQL Inject Me, FireCookie, Cookie Monster, Fireforce, Me XSS, etc, etc....
  • Proxy: Aca encontraras aplicaciones muy sencillas como FoxyProxy , que facilitan el anonimato.

En general Mantra de OWASP es un poderoso conjunto de herramientas para facilitar la tarea del auditor, si te ha interesado y quisieras aportar algún tutorial acerca del tema o si tienes alguna duda déjanos un mensaje y con gusto te responderemos, no olvides compartir este enlace con tus amigos en las redes sociales.

Por hoy a sido todo , nos leemos en el proximo articulo ,  para despedirme les dejo esta cita de Jose Saramago .
""Todo el mundo me dice que debo de hacer ejercicio. Que es bueno para mi salud. Pero nunca he escuchado a nadie que le diga a un deportista TIENES QUE LEER". -Jose Saramago-"

-Luis-
Compártelo:

0 Comentarios:

Publicar un comentario en la entrada

Back to Top