Tutoriales

Parsero: escanear en busca de vulnerabilidades

El mundo de la ciberseguridad es realmente apasionante y cada clic, clic y byte cuenta.Hoy vamos a aprender los conceptos básicos usando una ingeniosa herramienta llamada Pasajero en nuestro KaliLinux sistema.

Parsero es como un sabueso digital cuya misión es detectar vulnerabilidades en los sitios web. Es básicamente como nuestro socio detective cibernético, equipado con las habilidades para descubrir cualquier amenaza oculta que acecha en las profundidades.

Ahora ensuciémonos las manos.

Primero, necesitamos la herramienta Parsero en nuestro sistema. No se preocupe, viene preinstalado en nuestra versión completa de Kali Linux; de lo contrario, simplemente podemos instalarlo usando el siguiente comando en nuestra terminal Kali Linux: –

sudo apt install parsero -y

Luego le solicitará la contraseña de root y se instalará en unos segundos.

Antes de usar Parsero en el sistema Kali Linux, verificamos las opciones de la herramienta usando el siguiente comando:

parsero -h

El comando anterior mostrará la ayuda de la herramienta Parsero, que podemos ver en la captura de pantalla a continuación.

Opciones de descripción de Parsero en Kali Linux

Enfrentémoslo contra el objetivo. Lord Google se puede utilizar como ejemplo únicamente con fines de escaneo. En realidad no estamos atacando a los aparentes dueños de Internet. No debemos atacar ningún sitio web sin el permiso legal apropiado por escrito. Podemos crear nuestro propio sitio web vulnerable para esto. Entonces el comando es el siguiente:

parsero -u https://www.google.com

Podemos ver el resultado del comando anterior en la siguiente captura de pantalla:

parsero realiza operaciones en el objetivo

En la captura de pantalla anterior, podemos ver que Parsero funcionó bien y encontró algunos directorios.

Parsero es en realidad un script de Python que lee el archivo robots.txt de un sitio web y busca entradas prohibidas. Las entradas de bloque indican a los motores de búsqueda que no indexen directorios o archivos alojados en el servidor web. Por ejemplo, «Disallow: /portal/login» significa que está prohibido el acceso al siguiente contenido: www.ejemplo.com/portal/login No está permitido que lo indexen rastreadores como Google, Bing y Yahoo. Así es como los administradores tienen prohibido compartir información sensible o privada con los motores de búsqueda.

A veces, sin embargo, los usuarios pueden acceder directamente a estas rutas escritas en la entrada «prohibida» sin utilizar un motor de búsqueda, sólo la URL y la ruta, y a veces nadie puede acceder a ellas. Debido a que es común que los administradores escriban muchos Disallows, algunos disponibles y otros no disponibles, podemos usar Parsero para verificar el código de estado HTTP de cada entrada Disallow para verificar automáticamente si estos directorios están disponibles o no.

Además, el hecho de que un administrador escriba robots.txt no significa que los archivos o directorios escritos en las entradas Dissallow no serán indexados por Bing, Google, Yahoo, etc. Por tanto, Parsero es capaz de encontrar contenido indexado por Bing sin la autorización del administrador web. Parsero verificará el código de estado HTTP de cada resultado de Bing de la misma manera.

Podemos ver que hay muchas líneas rojas en los resultados de Parsero, lo que muestra

  1. Solicitud 200 OK exitosa.
  2. 403 Prohibido El servidor comprende la solicitud pero se niega a aceptarla.
  3. 404 No encontrado El servidor no puede encontrar ningún contenido que coincida con el URI de solicitud.
  4. 302 Encontrado El recurso solicitado reside temporalmente en un URI (Identificador uniforme de recursos) diferente.

Si solo queremos ver el código de estado «HTTP 200», entonces debemos usar el indicador -o de la siguiente manera:

parsero -o -u https://www.google.com

En la captura de pantalla siguiente, solo podemos ver el código de estado «HTTP 200».

Sólo código de estado http 200 de parsero

Alternativamente, si tenemos una lista de dominios en los que queremos ejecutar Parsero, podemos escribir los sitios en un archivo de texto, cada sitio en una línea, como en la siguiente captura de pantalla:

Lista de objetivos de Passero

Si tenemos otros objetivos, podemos agregarlos como se indica arriba. Ahora podemos usar Parsero para escanear el manifiesto. Antes de hacer eso, debemos especificar la lista de sitios web llamada «targets.txt» que está almacenada en nuestro escritorio, y también queremos ver sólo el código de estado «HTTP 200». Entonces nuestro comando es el siguiente:

parsero -o -f ~/Desktop/targets.txt

Después de ejecutar el comando anterior, Parsero comenzará a escanear los sitios web que figuran en la lista como se muestra en la captura de pantalla a continuación.

Parsero en múltiples objetivos

Una vez que Parsero completa el escaneo, produce un informe detallado que destaca las posibles vulnerabilidades que encontró. Necesitamos prestar mucha atención a estos hallazgos, ya que nos proporcionarán información valiosa sobre qué tan seguro (o no tan seguro) es un sitio web.

¡Chicos, lo hemos logrado!Recién nos estamos adentrando en el mundo de la ciberseguridad Pasajero existir KaliLinux. Pero recuerda, esto es sólo el comienzo. El panorama en línea es vasto y está en constante evolución, por lo que debemos mantener la curiosidad, seguir aprendiendo y nunca subestimar el poder de las mejores herramientas en línea de nuestro arsenal. ¡Feliz caza y que el viento digital esté siempre a nuestro favor!

¿Te gusta nuestro artículo? Cerciorarse Síganos existir Gorjeo y GitHub, donde publicamos actualizaciones de artículos.Únete a nuestro KaliLinuxEn Familia, únete a nosotros grupo de telegramas & canal whatsapp Estamos trabajando arduamente para construir una comunidad de seguridad de redes y Linux.Para cualquier cosa siempre estaremos encantados de ayudar a todos. Área de comentarios. Hasta donde sabemos, nuestra sección de comentarios siempre está abierta a todos.Leemos cada reseña y siempre respondemos.

LEER  Cómo encontrar controladores/firmware de chipset para instalar y hacer que los dispositivos WiFi/Ethernet funcionen en Linux

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba