Captura de requisitos Juan Antonio Calles García



Documentos relacionados
Juan Antonio Calles García

1. Búsqueda de información.

Preparación de sesiones de aula: las Presentaciones PDI

CÓMO CREAR UNA PÁGINA WEB

Invocación por protocolo de aplicaciones nativas desde páginas Web

MANUAL DE SHAREPOINT Por: Área de Administración de Aplicaciones.

Colegio de Ingenieros de Caminos, Canales y Puertos. Manual de Gestión de correo electrónico y SMS

La importancia de las pruebas de penetración (Parte I)

1 - Recogida y análisis de información (FASE 1)

Joomla! 3.3 Cree y administre sus sitios Web

SUBIENDO NUESTRA WEB CON MACROMEDIA DREAMWEAVER

Anexos de Bases de Presentación de Propuestas. Consultoría para la implementación de sistemas de gestión de contenidos para comunidades de RedCLARA

Manual de uso de la herramienta colaborativa

HOOTSUITE: GESTOR DE CUENTAS EN REDES SOCIALES

Cómo tener tu Tumblr con un domino propio

#SoftwareLibre14. Páginas Web con Software Libre. WordPress

Detectar y solucionar infecciones en un sitio web

Guía de Instalación para clientes de WebAdmin

Manual hosting acens

Instalación y configuración de SAE-Móvil

Guía de Editores del Sitio Web andreewolf.cl

Luis Villalta Márquez SERVIDORES DE NOMBRES DE DOMINIO (DNS)

Luis Villalta Márquez

Manual técnico. Preparado para: Duonet Preparado por: Jaime Glez.-Manjoya Menendez. 27 de octubre de 2010 Número de propuesta: duo-0001

Squipy v Introducción

Manual de Panel de Control de Hosting Compartido

POLÍTICA DE COOKIES COOKIES UTILIZADAS EN ESTE SITIO WEB

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

Pliego técnico para la adquisicíon de la Herramienta de Inventario y Facility Management

Qué necesito saber para tener mi sitio web en Internet?

Gestor de Contenidos CMS. Prof: Ing. Henrry Servitá

5.2.- Configuración de un Servidor DHCP en Windows 2003 Server

Accede a su DISCO Virtual del mismo modo como lo Hace a su disco duro, a través de:

QUÉ ES UN SERVIDOR Y CUÁLES SON LOS PRINCIPALES TIPOS DE SERVIDORES? (PROXY, DNS, WEB, FTP, SMTP, ETC.) (DV00408A)

Administración de la red (Windows 2008)

CURSO MOODLE Curso

Informàtica i Comunicacions Plaça Prnt. Tarradellas, FIGUERES (Girona) Tel Fax

MANUAL PARA CONFIGURACIÓN DEL COMPUTADOR DE LOS USUARIOS PARA EL USO DEL SISDON

Ayuda Aplicación SIGI

Qué es una página web?, qué conoces al respecto?, sabes crear una página

Para ingresar al mismo debes hacer click en el ícono correspondiente en el panel de control.

Práctica de Seguridad en Redes

LLEVE SU NEGOCIO al SIGUIENTE NIVEL. digitalice todos sus documentos y procesos.

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

PREPARATORIA DIURNA DE CUAUTLA

Manual Básico de Helm 4.2 para Usuarios:

A continuación ofrecemos información sobre el tipo de cookies utilizadas en nuestra página web:

(PHP y APACHE), y el programa de comunicación Skype, para controlar de manera

Aspectos prácticos de Internet

Informe. WordPress. sobre el uso de. Un estudio realizado por

DNS Domain Name System Sistema de Nombres de Dominio Administración de Redes de Computadores John Deivis Tabares Tobón Luis Fernando Ramirez

Integración de Magento & Dynamics NAV

Lección 13: Seguridad en DNS

HOSTING YDOMINIOS Publicar nuestra Web. Iván Martínez Toro

La Suite Google. Fácil instalación y uso. Pocos requisitos de la máquina. Gratuitas.

GUIA DEL ADMINISTRADOR INSTITUCIONAL

Internet Information Server

UNIVERSIDAD DE MEDELLÍN NUEVO PORTAL WEB MANUAL DE USUARIO GESTOR DE CONTENIDOS

POLÍTICA DE COOKIES.

Explotación de Sistemas Informáticos IES Murgi PRÁCTICA 9: SERVICIO WEB Y FTP DE INTERNET INFORMATION SERVICE

Gastos Reales Web Manual de Usuario

Plan Master. Guía Básica. Todo un Hosting a tu alcance. Índice. 1. Cómo gestionar tu Plan Master 2. Sube tu web Instala tus aplicaciones

100% Laboratorios en Vivo

Instituto de Acceso a la Información Pública y Protección de Datos Personales del Distrito Federal

Manual de usuario para Panel Windows Plesk

Manual de usuario servidor de archivos para El Colegio de la Frontera Sur

Indice Dominio y Hosting... 1 Dominio y Hosting fácil de entender con una imagen... 3 Cómo funciona el dominio y hosting?... 4 Términos más usados en

DNS IPLAN ABM DE REGISTROS DNS EN IPLAN CONTROL

Algunos Administradores de Contenido se presentan a continuación:

Cómo utiliza Michelin las cookies

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008. Clase No 1 Gestión de Información web Concepto asociados a la web

Sistema Integral Multicanal de Atención al Ciudadano

Tratamiento informático. Unidad 3 Internet

Internet Information Server

Manual de usuario del servidor de faxes IP RFax

Para este caso vamos a suponer que son los siguientes:

TRANSFERENCIA DE FICHEROS FTP

WEB HOSTING IPLAN INTRODUCCIÓN AL SERVICIO

Interfaz web de acceso al disco duro virtual

Política de cookies. Cookies utilizadas en este sitio web. Desactivación o eliminación de cookies. Notas adicionales

HERRAMIENTA PARA EL MAPEO DE LA RED

Manual de usuario de Windows Live Writer

Administración Local Soluciones

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

Este documento se distribuye bajo los términos de la licencia Creative Commons by sa. sa/2.

Manual de NetBeans y XAMPP

POLÍTICA DE COOKIES SERVICIOS NÁUTICOS PUERTO DEPORTIVO, S.L.

Solución de actividad 2.2.5: Uso de NeoTrace para ver Internetworks

Aplicateca. Manual de Usuario: Ilion Factura Electrónica. Espíritu de Servicio

Manual de Webalizer. Sync-Intertainment

Como detectar conexión del Servidor y SQL?

Administración de portales Joomla (II)

MANUAL DE INSTALACIÓN DEL COMPONENTE WEBSIGNER JAVA. Versión 4.0

No es un virus, ni un troyano, ni un gusano, ni spam, ni spyware, ni abre ventanas pop-up.

Instituto Politécnico Nacional. Escuela Superior de Turismo

Transcripción:

5/11/2013 FLU PROJECT ANUBIS REVOLUTION Captura de requisitos Juan Antonio Calles García

ÍNDICE Versiones del documento... 3 Definición de Requisitos... 4 Requisitos Funcionales... 4 Requisitos No Funcionales... 6

VERSIONES DEL DOCUMENTO Versión Autor modificación Fecha Detalles 0.1 Juan Antonio Calles 11/05/2013 Añadidos requisitos funcionales y no funcionales

DEFINICIÓN DE REQUISITOS REQUISITOS FUNCIONALES Requisitos para Auditoría de Seguridad y Test de Intrusión Debe permitir realizar fuzzing contra un sitio Web mediante diccionarios en formato txt. Debe permitir consultar el registrador de un dominio. Debe consultar el banner de un Servidor Web y de un Servidor FTP y detectar la versión y sistema operativo. Debe permitir la realización de trazas para analizar los puntos por los que pasa una petición de un dominio hasta su resolución final. Debe provocar errores 404 y detectar las posibles versiones del servidor web y sistema operativo. Debe automatizar la búsqueda de dominios con el verbo SITE de Google y Bing. Debe automatizar la búsqueda de dominios y subdominios por fuerza bruta con nslookup o similar consultando el registro a mediante diccionario o mediante permutaciones de un conjunto de símbolos alfanuméricos. Debe permitir la consulta de transferencias de zona. Debe localizar dominios que estén alojados en la misma máquina, para ello podría utilizarse por ejemplo la búsqueda con el verbo IP de Bing y la consulta en Robtex. Debe realizar reversing de los registros PTR de los DNS para buscar nuevos dominios a partir de una IP encontrada. Para saber el tamaño de los rangos a escanear de la nueva IP, se podría hacer una consulta a RIPE o ARIN para sacar el NETNAME y el NETRANGE. Debe integrar la búsqueda de puertos abiertos, sistemas operativos, y otros scripts. Debe permitir consultar los metadatos de todos los documentos alojados en un sitio Web. Extensiones: MS Office: doc, docx, xls, xlsx, ppt, pptx, ppsx y pps. Open Office: odf, ods, odt, odp, sxw, swi y sxc. Adobe: pdf, indd. Otros: wpd, svg y svgz. Imágenes: png, jpeg, gif, tiff, bmp, etc. Se debe dar la posibilidad de utilizar un proxy para anonimizar las búsquedas y protegerse de los límites de búsqueda impuestos por los buscadores. Permitir la búsqueda de Proxys. Añadir, entre otros, el puerto 3128 para la búsqueda de servidores proxy en los equipos de los dominios, ya que es el que habitualmente utiliza el servidor Squid Proxy. Debe permitir dado un listado de dominios e IPs, pintarlo de una manera amigable al usuario en formato de grafo dirigido o árbol. Debe permitir recorrer todos los enlaces de un sitio Web, sin salirse del dominio, y devolverlos en formato de lista (Spidering). Debe analizar todas las URL de una Web que tengan parámetros GET, ya que son uno de los lugares donde se producen vulnerabilidades por inyección de código. Para ello utilizar spidering y búsquedas en Google Hacking. Además se automatizarán consultas de inyecciones SQL, XSS y HTML, para ello el usuario podrá indicar que query utilizará para comprobar que la URL es vulnerable (or 1=1, etc.) y después analizará los resultados devueltos por la página para detectar el error provocado en la BBDD. Buscar subdominios a través de los registros del DNS: NS, MX, SPF, versión.bind (buscar versión servidor DNS), registros PTR y SOA (Start of Authority). Consultas SHODAN. Permitirá utilizar algún USER-AGENT que, o bien sea reconocible de forma única, para poder ser utilizado en procesos de pentesting autorizado y que los responsables de sistemas pudieran

monitorizar lo que se hace con la herramienta, o para que pudiera simular ser el Bot de Google o cualquier otra araña, etc. Debe comprobar si tiene activada la caché de DNS para hacer DNS Cache Snooping. Con DNS Cache Snooping, analizará a dónde navegan los usuarios del DNS de una determinada organización. Dado un servidor Web encontrado, permitirá descargar el certificado en la conexión https. Upload & Delete Ficheros en métodos PUT. Permitir explotar la vulnerabilidad de PUT o DELETE para subir o borrar un fichero en el servidor. Deberá reconocer si un sitio Web contiene páginas ASP, PHP, CFM, JSP, etc.. en el servidor Web, para así identificar de qué modelo se trata (Apache, Tomcat, IIS, etc.). Extracción de imágenes y metadatos de ficheros binarios. Permitir la geolocalización de direcciones IP. Permitir la búsqueda de redes WIFI cercanas (rango de 100m por ejemplo) a IPs geoposicionadas, utilizando los mapas de redes WIFI que se cuelgan en páginas web de Internet. Búsqueda de pertenencia de IPs a organizaciones. Búsqueda de e-mails de gente usando bases de datos de personas, redes sociales y buscadores. Identificar Sitios Web que permitan la subida de algún tipo de archivo al servidor. Búsqueda de ficheros RDP y CITRIX con los verbos EXT de Google y Bing. Búsqueda de ficheros backup de BBDD con los verbos EXT:sql de Google y Bing. Buscar rutas locales en ficheros SVG. Detección de blogs/gestores de contenidos como Wordpress, Joomla, etc. a través de los META del código fuente del site, del fichero readme.html en el caso de Wordpress, etc. Debe permitir buscar plugins fuzzeando con sus correspondientes versiones de Wordpress, Moodle (ya desarrollado en Flunym0us), Joomla, Drupal, etc. Búsqueda de ficheros.listing mediante Google Hacking y Bing Hacking con los verbos filetype. Descubrir aplicaciones JSP con Google Hacking explotando el error 404. Descubrir con Google Hacking aplicaciones Coldfusion con licencia caducada forzando errores 500. Descubrir rutas locales con Google Hacking explotando un 404 del framework de WebDNA. Barrido de sites que salen por puertos extraños mediante Google Hacking. Requisitos para Open Source Intelligent (OSINT), Búsqueda en fuentes abiertas y Sistema de Cibervigilancia Búsquedas en Redes Sociales (Tuenti, Instagram, Facebook, Twitter, Linkedin, etc.) o Búsqueda de términos o Búsqueda de perfiles o Búsqueda de hashtags o Asociación de perfiles que han escrito mensajes en los que aparezcan dichos términos (pintarlo en modo de grafo) o Asociación de perfiles con el mismo nombre o parecido en distintas redes sociales o Asociación de perfiles con sus followers, amigos, contactos, etc. (pintarlo en modo de grafo) o Asociación de perfiles que comparten grupos, aficiones, eventos, etc. (pintarlo en modo de grafo) o Búsqueda de información de una persona (fotos, aficiones, trabajo, etc.) a través de la información pública compartida en redes sociales y páginas tipo 123people.

Búsqueda en Páginas de Pegado (Pastebin, Pastebay, etc.) o Búsqueda de términos o Búsqueda de pastes escritos por el mismo usuario Búsqueda en blogs, periódicos, foros, redes sociales etc. de usuarios que escriban con un mismo perfil, y relacionarlos entre sí (pintarlo en modo de grafo. Requisitos de reporting El sistema debe mostrar toda la información de una manera cómoda y amigable (uso de grafos, listados expandibles) Debe mostrar reportes y estadísticas con gráficas de distintos tipos. Debe permitir generar informes automáticos con la información recuperada y exportarlos a distintos formatos (docx, pdf, etc.) REQUISITOS NO FUNCIONALES El sistema debe poder alojarse en un servidor Windows o Linux, y debe poder accederse remotamente desde cualquier tipo de navegador web (principales Firefox, Internet Explorer, Google Chrome y Safari). El sistema debe ser programado en lenguaje python. La interfaz web debe ser programada con django.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback