On 1/16/08, Ricardo Utreras Estrella <[EMAIL PROTECTED]> wrote: > > Estimados: > > Alguien recomienda/conoce algun software libre que sirva para > implementar una base de conocimiento? (knowledge base) > Que corra en Win2 eso si. (Don't ask)
yo usaria Plone http://plone.org/ es un CMS, lo puedes adaptar a una KB, tiene un buscador bastante decente si no eres muy viril para hacer la cosa por consola tiene un instalador para distintas plataformas (no asustarse porque esta hecho en Python) el portal de ACM esta en Plone http://www.acm.org/ Saludos Claudio Castillo Saludos -- Saluda atte., Ricardo Utreras Estrella From [EMAIL PROTECTED] Thu Jan 17 17:07:47 2008 From: [EMAIL PROTECTED] (Claudio Salazar S.) Date: Thu Jan 17 17:11:01 2008 Subject: Ethical Hacking, aspectos a considerar. In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> Asdtaker wrote: > Estimados, alguien tiene idea de los aspecto de debiese considerar a la hora > de realizar un escaneo de vulnerabilidades a mi sitio web? > > Por ahora considero estos ITEMs: > > - Ingenieria Social: informacion disponible en la web. Eso seria mas recopilacion de datos para algo posterior que ingenieria social. Si lo ves desde ese punto, google tambien te ayudara, si es que tus sitios estan indexados. > - Archivos por defecto: todo aquello que viene con la instalacion en bruto > del server web. > - Extensiones por defecto: analizar el impacto de soportar distintas > extensiones. Separemos lo que es servidor mismo de las diferentes paginas desarrolladas en distintos lenguajes. Algo asi te podria ayudar : http://skrasavi.ds.uiuc.edu/IIS/Auditing%20IIS%205.0%20server.pdf > - Sesiones: comprobar validez de sesiones, etc. Mientras sepas bien como las tienes configuradas, no hay problema. Posibles robos de identidad ya no son parte del server, sino del usuario. > - Manejo de errores: de aplicacion y servidor. Lei que usabas ASP, ASP.NET ? Tira mucha informacion, asi que opciones de debug en periodos de pentest como ahora o desarrollo, despues el minimo. Tambien cuidado con paginas de errores creadas por uno mismo, que agarra el error y lo lanza, puede haber XSS. > - SQL Injection. Existen hartas herramientas y guias sobre SQL Injection, cuidado tambien con Blind SQL Injection. Ademas de configurar bien SQL Server, por ejemplo si no necesitas las opciones de cmd ( no se el nombre exacto, cuando lanzas una cmd.exe desde sql ), desactivala. Si tienes mucho JS, un buen fuzzer javascriptico para probar que tal estamos. Y nunca esta demas una auditoria local, existen guias de SANS y otros. > > > Gracias por sus comentarios. > > Saludos.
