Continuamos, y de momento acabamos, con
el CMS fingerprinting mediante una breve entrada.
Hasta ahora, hemos visto fingerprinting pasivo
mediante análisis de cabeceras, cookies, metatags, etc y
fingerprinting activo mediante análisis de contenido estático.
En esta ocasión, vamos a ver
fingerprinting web de forma totalmente pasiva, simplemente mientras
navegamos por la página web.
Existen varias maneras de hacerlo, bajo
mi punto de vista, la más efectiva es utilizar el plugin de Firefox
/ Chrome (en versión beta) WAPPALYZER.
Dicho plugin identifica servidores web, frameworks JavaScript, CMS,
etc, etc con tan sólo navegar por la página web, tal y como se ve
en la siguiente imagen.
Si bien Wappalyzer no es capaz de
detectar las versiones exactas, sí que identifica con gran precisión
cientos de software y tecnologías distintas, lo que puede
proporcionarnos una pista por el camino a seguir a la hora de auditar
la página.
Para todos aquellos que estéis
interesados en más información acerca del fingerprinting web os
dejo algunos recursos:
- Sucuri - Fingerprinting web applications
- Web Application Finger Printer (herramienta)
- Web Application Finger Printing (paper)
- BlindElephant_WebApp_Fingerprinting-PAPER-v2.pdf
- WASC Fingerprinting
Un saludo a todos, espero que os haya
ayudado lo aquí expuesto (brevemente, eso sí, jeje). Nos vemos en
la próxima!
No hay comentarios:
Publicar un comentario