Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Obtención de información pública sobre sistemas y dominios mediante búsquedas en Google

    Cargado por

    Luis Garcia Herrero
    56 vistas16 páginas

    Título original

    FOOTPRINTING.pptx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    56 vistas16 páginas

    Obtención de información pública sobre sistemas y dominios mediante búsquedas en Google

    Cargado por

    Luis Garcia Herrero

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 16

    01 OBTENCION DE INFORMACION

    OBJETIVOS
    El proceso de footprinting consiste en la bsqueda de
    toda la informacin publica, que pueda haber sobre el
    sistema a auditar. Es decir, buscaremos todas las
    huellas posibles, como:

    Direcciones IP
    Servidores internos
    Localizar el rango de la red
    Averiguar que maquinas estn activas
    Puertos abiertos/access point
    Detectar sistemas operativos
    Descubrir servicios escuchando en puertos
    Topologa de la red
    VISITAR EL SITIO WEB
    El primer paso ser evidentemente entrar en el sitio
    Web que vamos a auditar. Deberemos navegar por
    todas sus paginas y aplicaciones, ya que nunca
    sabemos que nos vamos a encontrar. Es habitual,
    sobretodo en sitios Web muy grandes, que se dejen
    olvidados enlaces a sitios que no deberan estar, o
    algn error en una llamada a BBDD (algo mas
    comn de lo que se piensa). Tras hacernos una idea
    del estado de la web continuaremos con el siguiente
    paso.
    QUE SABE GOOGLE (I)
    El segundo paso de cualquier proceso de footprinting seria preguntar a Google,
    Bing, etc. por el dominio del que queremos obtener informacin.
    Continuaremos con las bsquedas hacking utilizando diferentes verbos para
    refinar un poco ms las bsquedas. Para el caso de Google Hacking usaremos:

    inurl:login.asp
    Busca el directorio compuesto de login.asp que se encuentre como parte de la
    URL, por medio del cual podremos acceder a los recursos administrativos del
    sistema Web en este caso.

    QUE SABE GOOGLE (II)
    fyletype:xls tel
    Es un operador que nos permite hacer bsqueda de
    ficheros con extensiones especficos. Por ejemplo,
    en el ejemplo le estamos diciendo que busque
    archivos de Excel (.xls) que hagan referencia a la
    palabra tel, o sea telfonos, o tambin para buscar
    contraseas.
    QUE SABE GOOGLE (III)
    link:www.flu-project.com
    Este operador muestra todos los sitios web que en sus paginas tengan
    links que apunten hacia la pagina www.flu-project.com, con esto al
    hacer un pentest podramos saber la relacin de la empresa que
    estemos testeando, ya sea con posibles proveedores, ventas online,
    socios, publicidades, hasta blogs personales o fotografas.
    QUE SABE GOOGLE (IV)
    author: erogan
    Esto har una bsqueda en Google por todos los sitios, foros, blogs,
    en la cual haya comentado e iniciado un tema el usuario: Erogan.

    QUE SABE GOOGLE (V)
    site:www.flu-project.com "hacking
    Esto buscar dentro de www.flu-project.com y mostrar todos los
    enlaces donde encuentre la palabra hacking.
    Este parmetro puede usarse para encontrar palabras clave dentro del
    sitio al que estamos haciendo pentest.


    QUE SABE GOOGLE (VI)
    intitle:'index of/admin.php
    Esto busca en el titulo de una pagina web. Es til para buscar
    directorios predefinidos en los servidores.

    QUE SABE GOOGLE (VII)
    inurl:passwords.txt site:com
    Esto buscara el fichero passwords.txt dentro de todos los sitios
    .com que logre escanear.
    QUE SABE GOOGLE (VIII)
    all filetype:xls empleados site:gob.es
    Esto buscara un fichero con empleados tambin en
    sitios del gobierno espaol.

    QUE SABE GOOGLE (IX)
    all inurl:login.asp intitle:intranet site:com
    Esto buscara ficheros login.asp de acceso a intranets.

    QUE SABE GOOGLE (X)
    site:www.magrama.gob.es fraude
    Buscara todo lo que tenga que ver con fraudes alojado en
    www.magrama.gob.es.
    QUE SABE GOOGLE (XI)
    site:www.magrama.gob.es filetype:pdf
    Buscar en www.magrama.gob.es todos los ficheros .pdf
    alojados en el servidor.

    QUE SABE GOOGLE (XII)
    site:www.magrama.gob.es allinurl:passwd filetype:log
    Esto buscara dentro de www.magrama.gob.es en el directorio
    passwd el log de contraseas.







    Para mas informacin sobre el uso de los operadores de Google
    visitar:
    http://www.googleguide.com/advanced_operators_reference.html
    QUE SABE GOOGLE (XIII)
    https://www.google.es/imghp
    Google posibilita a los usuarios rastrear las imgenes desde su navegador, una
    opcin muy til para saber si las fotografas que has publicado han sido
    utilizadas en otras paginas web sin tu permiso.
    Tambin desde que han proliferado las redes sociales mucha gente tiene su
    foto de perfil publica. Con lo que si tenemos una foto de alguien y no sabemos
    mucho sobre esa persona, podemos subir la foto a Google y con un poco de
    suerte obtendremos su perfil en alguna red social.

    También podría gustarte