In Seguridad y Gestión de pruebas Última actualizaciónated:
Comparte en:
Cloudways ofrece alojamiento en la nube administrado para empresas de cualquier tamaño para alojar un sitio web o aplicaciones web complejas.

Para el sistema informático de su empresa necesita un trozo de hormigón proof para demostrarate que su negocio en línea sea sólido contra varios tipos de ciberataques, especialmenteally ataques de fuerza bruta.

¿Qué es un ataque de fuerza bruta?

¡Un ataque de fuerza bruta es uno de los ciberataques más peligrosos que quizás no tengas ningún truco para enfrentar! Un ataque de fuerza bruta tiene como objetivo el corazón de su sitio web o la seguridad de su dispositivo, la contraseña de inicio de sesión o las claves de cifrado. Utiliza el método continuo de prueba y error para explorarlos de manera decisiva.

Las formas de ataque de fuerza bruta son variadas, principalmente en:

  • Ataques híbridos de fuerza bruta: intentar o enviar miles de palabras esperadas y del diccionario, o incluso palabras aleatorias.
  • RevErse ataques de fuerza bruta: intentar obtener la clave de derivación de la contraseña mediante una investigación exhaustiva.

¿Por qué necesitamos herramientas de prueba de penetración?

Los atacantes de fuerza bruta utilizan varias herramientas para lograr este objetivo. Puede utilizar estas herramientas de ataque de fuerza bruta para Penetración. This testing is also called “pentesting” or “pen testing”.

La prueba de penetración es la práctica de intentar piratear sus propios sistemas de TI utilizando las mismas formas en que lo hacen los piratas informáticos. Esto le permite identificar cualquier agujero de seguridad.

Nota: the following tools may generate many requests that you should do only against your application environment.

Gobuster

Gobuster es una de las herramientas de fuerza bruta más potentes y rápidas que no necesita tiempo de ejecución. Utiliza un escáner de directorio programado por Ir idioma; es más rápido y más flexible que el guión interpretado.

Caracteristicas

  • Gobuster is known as well for its amazing support for concurrency, which enables it to handle multiple tasks and extensions, keeping its speed processing.
  • Una herramienta liviana sin la GUI de Java funciona solo en la línea de comandos en muchas plataformas.
  • Ayuda incorporada

Modos

  • dir - el modo de directorio clásico
  • dns - modo subdominio DNS
  • s3 – Enumerate open S3 buckets and look for existence and bucket listings
  • vhost - modo de host virtual

Sin embargo, sufre de una falla, la deficiencia de búsqueda de directorios recursiva, lo que reduce su efectividad para directorios de niveles múltiples.

BrutoX

BrutoX es una gran herramienta todo en uno basada en shell de fuerza bruta y de código abierto para todas sus necesidades para alcanzar el objetivo.

  • Puertos abiertos
  • Nombres de usuario
  • contraseñas

Utiliza el poder de enviar una gran cantidad de posibles contraseñas de forma sistemática.

Incluye muchos servicios que se obtuvieron de algunas otras herramientas, como Nmap, Hydra & DNS enum. Esto le permite buscar puertos abiertos, start brute force FTP, SSH, and automatically determine the running service of the target server.

búsqueda

búsqueda es una herramienta avanzada de fuerza bruta basada en una línea de comandos. Es un escáner de rutas web AKA y puede hacer fuerza bruta en directorios y archivos en servidores web.

Dirsearch se convierte recientemente en parte de la oficial Kali Linux packages, but it also runs on Windows, Linux, and macOS. It’s written in Python para ser fácilmente compatible con proyectos y scripts existentes.

También es mucho más rápido que la herramienta DIRB tradicional y contiene muchas más funciones.

  • Soporte Proxy
  • multihilo
  • Aleatorización de agente de usuario
  • Soporte para múltiples extensiones
  • Arena del escáner
  • Solicitar retrasar

For recursive scanning, Dirsearch is the winner. It’s going back through and crawl, seeking any additional directories. Alongside speed and simplicity, it’s from the best Brute-force rooms for every pentester.

Inexperto

Inexperto es una herramienta de fuerza bruta de inicio de sesión fácil de usar y personalizable. Escrito en Python 3. Está diseñado para satisfacer las necesidades y circunstancias de los novatos.

It has been provided flexible user experiments for easy error handling, especially for beginners to understand and intuit easily.

SSB

Fuerza bruta de caparazón seguro (SSB) es una de las herramientas más rápidas y sencillas para servidores SSH de fuerza bruta.

Using the secure shell of SSB gives you an appropriate interface, unlike the other tools that crack the password of an SSH server.

Thc-Hidra

Hydra is one of the most famous tools for login cracking used either on Linux or Windows/Cygwin. In addition, for Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10), and macOS. It supports many protocols such as AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY, and more.

Instalado de forma predeterminada en Kali Linux, Hydra se diseñó con versiones gráficas y de línea de comandos. Puede descifrar uno o una lista de nombres de usuario / contraseñas mediante el método de fuerza bruta.

Además, está en paralelo, la herramienta muy rápida y flexible que le permite proteger la posibilidad de acceso no autorizado a su sistema de forma remota.

Algunas otras herramientas de piratas informáticos de inicio de sesión se utilizan para la misma función, pero solo Hydra admite muchos protocolos diferentes y conexiones paralelizadas.

Suite Burp

Profesional de Burp Suite is an essential toolkit for web security testers, and it’s come with fast and dependable features. And also, it can automate monotonous testing tasks. In addition, it’s designed by experts’ manual and semi-automated security testing features. Many experts use it in testing OWASP’s top ten vulnerabilidades.

Burp ofrece muchas características únicas, desde aumentar la cobertura de escaneo hasta personalizarlo hasta el modo oscuro. Puede probar / escanear aplicaciones web modernas ricas en funciones, JavaScript, API de prueba.

It’s a tool designed really for testing services, not for hacking, such as many others. So, it records complex authentication sequences and writes reports for end-users direct use and sharing.

También tiene la ventaja de realizar pruebas de seguridad de aplicaciones fuera de banda (OAST) que alcanzan muchas vulnerabilidades invisibles que otros no pueden. Además, es el primero en beneficiarse del uso de PortSwigger Research, que lo coloca a la vanguardia.

patador

patador es una herramienta de fuerza bruta para usos múltiples y flexible dentro de un diseño modular. Aparece como reflejo de frustración al usar otras herramientas y scripts de ataques de obtención de contraseñas. Patator elige un nuevo enfoque para no repetir viejos errores.

Escrito en Python, Patator es una herramienta de múltiples subprocesos que desea realizar pruebas de penetración de una manera más flexible y confiable que los antepasados. Admite muchos módulos, incluidos los siguientes.

  • FTP
  • SSH
  • MySQL
  • SMTP
  • Telnet
  • DNS
  • PYME
  • IMAP
  • LDAP
  • iniciar sesión
  • Archivos zip
  • Archivos de almacén de claves de Java

Pydictor

Pydictor is one other great dictionary hacking powerful tool. When it comes to long and password strength tests, it can astonish both novices and professionals. It’s a tool that attackers can’t dispense in their armory. Besides, it has a surplus of features that enable you to enjoy really a strong performance under any testing situation.

  • Permanent assistant: enables you to create a general wordlist, a ingeniería social lista de palabras, una lista de palabras especial que utiliza el contenido web, etc. Además, contiene un filtro para ayudar a enfocar su lista de palabras.
  • Altamente personalizado: puede personalizar los atributos de la lista de palabras según sus necesidades mediante el uso de filtros por longitud, modo de lectura y más funciones.
  • Flexibility and compatibility: it’s able to parse the configuration file, with the ability to work smoothly either on Windows, Linux, or Mac.

Diccionarios Pydictor

  • Diccionario numérico
  • Diccionario alfabético
  • Diccionario alfabético en mayúsculas
  • Numérico junto con el alfabeto en mayúsculas
  • Mayúsculas junto con letras minúsculas
  • Numeral junto con el alfabeto en minúsculas
  • Combinando mayúsculas, minúsculas y números
  • Adición de cabeza estática
  • Manipulación del filtro de complejidad del diccionario

ncrack

ncrack es una especie de herramienta de descifrado de redes con un rendimiento de alta velocidad. Está diseñado para que las empresas las ayuden a probar sus dispositivos de red en busca de contraseñas débiles. Muchos profesionales de la seguridad recomiendan utilizar Ncrack para auditar la seguridad de las redes del sistema. Fue lanzado como una herramienta independiente o como parte de la Kali Linux.

Mediante un enfoque modular y un motor dinámico, Ncrack diseñado con una línea de comandos puede ajustar su comportamiento de acuerdo con la retroalimentación de la red. Y puede realizar auditorías amplias confiables para muchos hosts al mismo tiempo.

The features of Ncrack are not limited to a flexible interface but secure full control of network operations for the user. That enables amazing sophisticated brute-forcing attacks, runtime interaction, and timing templates to facilitate the use, such as Nmap.

Los protocolos admitidos incluyen SSH, RDP, FTP, Telnet, HTTP (S), WordPress, POP3 (S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA y DICOM, que lo califica para una amplia gama de industrias.

Hashcat

Hashcat is a password recovery tool. It can work on Linux, OS X, and Windows and support many hashcat-supported Hashcat algorithms such as MD4, MD5, SHA-family, LM hashes, and Unix Crypt formats.

Hashcat se ha hecho conocido debido a que sus optimizaciones dependen en parte del software que ha descubierto el creador de Hashcat.

Hashcat tiene dos variantes:

  • Herramienta de recuperación de contraseña basada en CPU
  • Herramienta de recuperación de contraseña basada en GPU

La herramienta GPU puede descifrar algunos hashcat-legacy en menos tiempo que la herramienta CPU (MD5, SHA1 y otras). Pero las GPU no pueden descifrar todos los algoritmos más rápido. Sin embargo, Hashcat había sido descrito como el descifrador de contraseñas más rápido del mundo.

Para Concluir

Después de este espectáculo detallado, tiene un variado arsenal de herramientas para reemplazar. Elige lo que más te convenga para cada situación y circunstancia a la que te enfrentas. No hay razón para creer que no hay diversidad de alternativas. En algunos casos, las herramientas más simples son las mejores, y en otros casos, lo contrario.

A continuación, explore algunos de los herramientas de investigación forense.

Comparte en:
  • Zaher talab
    Autor
    Escritor de tecnología interdisciplinaria Tecnologías digitales emergentes, tecnologías médicas, negocios, historia, política

Gracias a nuestros patrocinadores

Más lecturas interesantes sobre seguridad

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Prueba la IA de Murf
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder