The Harvester, una herramienta de fuente abierta escrita por Christian Martorella. Harvester permite recopilar información como direcciones de correo electrónico y subdominios, todo a partir de recursos públicos. Esta herramienta en su mayoría busca a través de sitios como Google, Bing, LinkedIn y Shodan.
Según un experto en hacking ético del Instituto Internacional de Seguridad Cibernética, el The Harvester es una herramienta avanzada de recopilación de información. Esta herramienta es bastante útil para los pentesters.
Para iniciar The Harvester
- Escriba theharvester en la terminal de Linux
Búsqueda básica
- Escriba theharvester -d cisco.com -b google como se muestra a continuación:
-d para buscar el nombre de dominio
-b fuente de datos que se utilizará para la búsqueda, aquí estamos utilizando la fuente de datos de Google
- Como se muestra arriba después de buscar el dominio de destino, se muestra host y correo electrónico que se encuentran en Google
- Puede configurar su propia fuente de datos eligiendo la fuente de datos deseada
Hosts virtuales
- Escriba theharvester -d containererstore.com -b bing –v
-d significa buscar el nombre de dominio
-b significa fuente de datos como Google, Bing, Twitter
-v busca hosts virtuales y usa la resolución DNS para verificar el nombre del host
- En las exploraciones de hosts virtuales anteriores, podría haber miles de dominios resolviendo la misma dirección IP, ya que estos dominios están alojados en el mismo proveedor de alojamiento web de terceros
- El atacante podría usar estos sitios para la vulnerabilidad de inyección de SQL. Un atacante puede apuntar el primer sitio para recopilar información y el segundo sitio para la inyección de SQL
Herramientas API de Twitter
- Escriba theharvester -d containererstore.com -b twitter
- De forma predeterminada, el uso de Twitter en la consulta muestra a los usuarios de twitter de containererstore.com como se muestra a continuación:
- Como se muestra arriba, aquí está la lista de cuentas de Twitter de containererstore.com. La lista anterior de usuarios de Twitter se puede considerar en la fase inicial de recopilación de información
0 comments:
Post a Comment