jueves, 27 de noviembre de 2008

Aire Fresco en Information Gathering

La pasada semana tuve la suerte de poder desplazarme a Barcelona junto con unos compañeros de trabajo para poder asistir al IV OWASP Meeting Spain, en la que se trataron diversos temas sobre el nuevo framework para auditoría web w3af, el análisis de eco de aplicaciones web, la visión de Microsoft sobre la seguridad de sus propias aplicaciones e Information Gathering.

La que os vengo a comentar hoy (las otras ya las comentaré en otro momento) es la presentación que hizo




  • Google Sets: Otro gran trabajo de Google que nos facilita mucho el trabajo. Imaginad que vemos las cabeceras de un correo, o realizamos una transferencia de zona y vemos el nombre de tres máquinas: "turia", "ebro" y "jucar". Sólo tenemos que introducirlas en Google Sets y este relaciona las tres palabras y nos da uno montón de palabras más relacionadas con estas. Esto resulta muy muy útil sobretodo porque los administradores de sistemas tienden a poner nombres de una temática similar a sus sistemas, por lo que esta lista puede ser de mucha utilidad para realizar una resolución inversa de nombres y descubrir nuevos objetivos. Poniendoselo difícil a Google, intento introducir "shodan", "nidan", "sandan" (números en Japonés) y efectivamente lo reconocer y me saca una lista con otros números en Japonés.
  • Pipl: Web que le metes el nombre de una persona y te saca todas las referencias que encuentra de una persona, muy interesnte también. He probado a poner mi propio nombre y hasta sale una referencia a un compañero de carrera que me incluyó en los agredecimientos de su Proyecto Final de Carrera.
  • UserCheck: Esta es una web que cuando vi la presentación sencillamente me encantó, tiene referencia a un montón de sitios web y redes socialesa las cuales consulta para saber si un nombre de usuario concreto está dado de alta en alguno de ellos. Sin embargo, no he podido encontrar la web, si alguien sabe donde está por favor que ponga comentario.
Otro día os comentaré cosas de otras presentaciones que tampoco tuvieron ningún desperdicio.

ACTUALIZACIÓN 31/12/2008: Según leo en el blog personal de Christian Martorella, la web de UserCheck estaba en realidad en www.usernamecheck.com, desde este enlace sí que se puede ver la web que aparece en la presentación.

2 comentarios :

Anónimo dijo...

Hola...

La herramienta parece buena,pero no he podido probarla pues me salta un error al ejecutar el script...

El error me indica lo siguiente : "Can't locate REST/Google/Search.pm in @INC (@INC contains: /etc/perl /usr/local/lib/perl/5.10.0 /usr/local/share/perl/5.10.0 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.10 /usr/share/perl/5.10 /usr/local/lib/site_perl .) at TargetSearch.pl line 37. "

Necesito otra version más reciente de perl o a que se debe dicho error ?

Muchas gracias por el script, a ver si podeis indicarme como solucionarlo.

Un saludo.

Jose Selvi dijo...

@Anónimo: Me parece que te has equivocado de post al dejar el comentario :P

El error te sale porque no tienes instalada la librería REST/Google/Search.pm

Lo más cómodo es usar CPAN e instalar el paquete "REST:Google".

Ya nos cuentas (pero mejor en el otro post, así queda todo agrupado).

Saludos y gracias por tu comentario.