Las herramientas de Hacking no hacen magia!

No Comments
No se pero aun existen personas que creen que las herramientas son mágicas que con un click aqui, click alla todo se hará por arte de magia, desde la validación de las vulnerabilidades, hasta la sanitización de debilidades en código, como la actualización y ejecución de PARCHES, no sería tan terrible por decirlo si fueran personas que no son del ramo, o en su defecto ni estan iniciando en seguridad informatica. 


Espero que si eres una de las personas que piensan que piensan que una herramienta hace maravillas leas detenidamente lo siguiente. 

El fin de una herramienta, de explotación  e identificación de vulnerabilidades es la de apoyar y automatizar dar soporte las tareas manuales que muchas veces toma algo de tiempo realizarlas, considerando que la herramienta necesita interacción directa con el usuario final, por lo cual cualquier herramienta no hace lo siguiente:
  • Nunca validara las debilidades, ya que pueden ser falsos positivos. 
  • No te generará las medidas necesarias para parchar las debilidades a lo mucho tienden a darte enlaces referente a como subsanar o en su defecto de la vulnerabilidad para comprender y entender de que se trata y que tanto llega a afectar el impacto del mismo.
  • La herramienta no asegura que tu aplicación sea 100% segura recuerda que muchas veces se basa en una base de conocimientos es decir una base de datos la cual machea y verifica si el patrón identificado es el mismo o se asemeja
  • No confies en una sola herramienta prueba con mas de una pero tampoco exageres averigua y valida las mejores herramientas que se adapten a tu software no correras un SQLMAP para validar el top 10 OWASP heee!.
Toda herramieta que uses necesitara de tu interacción para validar ademas para explotar debidamente muchas veces un ejemplo de BurpSuite si no sabes usarlo no podras ejecutarlo debidamente, lo mismo sucede con SQLMAP si no sabes como ejecutar ademas de identificar la debilidad la herramienta no te lo hará todo, por lo tanto con esta entrada a que quiero llegar si aun no te diste cuenta es que aprendas a usar la herramienta nunca la herramienta te hará mejor pentester, estudia prueba y aprende eso nunca debe de faltarte.

Un análisis de vulnerabilidades tampoco es correr y ejecutar herramientas ;).

Regards, 
Snifer 

0 comentarios

Publicar un comentario en la entrada