El mundillo de los/las/les seguratas informáticos dicen que es muy toxico, que existe mucha gente que se saca el carnet de «hacking ético» pero luego poca ética tienen.
La gente que llevan más años en ese mundillo parece que se calman un poco pero los jóvenes se creen Mr. Robot.
Intro poco relevante
Con su testosterona, sus scripts y su falta de humanidad se plantan a las 2 de la madrugada a hackear cosas. Buscan fallos, explotan fallos. Entran en servidores borrachos y borran todo el contenido. Al día siguiente no recuerdan lo que hicieron pero les da igual.
Luego trabajan en empresas buscando fallos que comunican en sus grupos de «guasap» (o de «telegrama» que dicen que es más seguro :O). Se aburren de estar realizando reportes un día si y otro también. Les mola eso de ir a cara tapada por la vida. Hacer el mal, tirar la piedra y esconder la mano.
Son unos payasos y no por ello toda la gente que trabaja en seguridad informática lo son. No por cuatro «script kiddies» se ha de condenar a todo un sector pero si que es importante recalcarlo.
Una vez terminada la intro, en la que me he despachado agusto, comenzamos.
POMPEM
Pompem es software libre. Una herramienta escrita en Python diseñada para automatizar la búsqueda de Exploits y vulnerabilidades en algunas de las bases de datos más importantes:
- PacketStorm security
- CXSecurity
- ZeroDay
- Vulners
- National Vulnerability Database
- WPScan
- Vulnerability Database
Instalación
Su instalación es sencilla y se puede resumir a clonar el repo github.com/rfunix/Pompem y luego instalar las dependencias si tenemos instalado pip (pip install -r requirements.txt).
Búsquedas de pruebas
Hacer unas búsquedas puede hacerse así desde la línea de comandos:
python3 pompem.py -s fortiGate
python3 pompem.py -s WordPress
python3 pompem.py -s Drupal
Pudiendo exportar a html y txt la salida o volcarla.
Y de esta forma te informas rápidamente de posibles fallos que afecten a algún servicio que gestiones. Poco más que decir.
Saludos cordiales.