lunes, 14 de julio de 2014

ParameterFuzz v1.9

Tras el pasado perigeo lunar todos presentíamos que algo grande sucedería. Cuestión de tiempo, tras la larga espera pensaba que nada me sorprendería. Pues un agnóstico vino a este mundo a nublar vuestro cielo de fantasía. Mientras tanto, un avinagrado despertador mi oído recorrería. Lunes con hedor a alcohol, lo más cercano a despertarse en una pescadería. Tras la luna llena algo ciertamente se escondía, mi nueva herramienta hoy les traigo con alegría.

Exactamente, eso quería decirles. Les traigo la nueva versión de mi software para que la disfruten. Quería darle las gracias a Chema Alonso pues muchas de las ideas que he utilizado en Simple Vulnerability Scanner vienen directamente de la cosecha de FOCA.


Configuraciones necesarias Internet Explorer

  • Es necesario desactivar los mensajes de error HTTP descriptivos. Haga clic en el menú Herramientas y, después, en Opciones de Internet. Haga clic en la ficha Opciones avanzadas y desplácese hasta la sección Examinar.
  • Desactive la casilla Mostrar mensajes de error HTTP descriptivos y haga clic en Aceptar. 
  • Ante un "Basic Access Authentication", utiliza la siguiente manera para generar la cabecera de acceso: https://usuario:contraseña@www.enelpc.com/  
  • En aquellas páginas donde encuentres un certificado no emitido por una entidad certificadora, añade el certificado a "Almacén de Entidades de certificación raíz de confianza".
  
¿Cambios respecto a la versión anterior?

  • Se realizó una versión especial para el evento Warfare de RootedCon 2014, donde se arregló un bug en formulario POST. Se rediseñó y añadieron nuevas opciones a la herramienta secundaria "Add HTTP Header"
  •  Se han realizado cambios en el formulario de entrada, para aumentar la comodidad y solucionar problemas con el cerrado de la aplicación.
  • Ha sido sustituida la API "Sleep" de todo el proyecto, ya que esta podía acarrear bloqueos momentaneos en los formularios GET y POST.
  • El botón "Menu" se ha eliminado de los formularios POST y GET, dejando paso a poder volver al formulario principal desde el botón de cerrado de estos formularios.
  • Se ha eliminado la caja check que permitía almacenar en memoria la longitud del código HTML, incluyendo un nuevo uso para habilitar la nueva herramienta "Mini Vulnerability Scanner".
  • "Mini Vulnerability Scanner" cuenta actualmente con varias pruebas las cuales yo realizo manualmente en mis auditorías personales. Esta genera un número mínimo de peticiones con un intervalo de tiempo personalizable entre ellas, para evitar baneos o el colapso del servidor auditado.

Saludos 4n4les! ;)
  

3 comentarios:

  1. Muy buen artículo, pero el link de la descarga me sale q esta roto, nose si es por mi buscador o por que esta el link caido.

    Buen aporte!

    ResponderEliminar
  2. Hola buenas noches,
    He comprobado el link y se encuentra totalmente funcional!
    Un saludo! :)

    ResponderEliminar