Ejemplo Reporte de PenTest

Exploiting Ejemplo Reporte de PenTest

Ejemplo de , gracias a Daniel Rodríguez (@dvirus), me entero que Ofensive Security (los creadores de BackTrack), han liberado un ejemplo de reporte que utilizan en sus test de penetración, a mi parecer esta bien estructurado y contiene los elementos justos que se deben mostrar en un reporte de este tipo.

Ejemplo Reporte Pentest Ejemplo Reporte de PenTest

Es muy común escuchar entre los profesionales de la seguridad informática, las quejas a la hora de hacer el reporte de un pentest, la verdad es que no conozco el primero que disfrute haciendo este tipo de informes, pero siempre que escucho este tipo de quejas les recuerdo a estos profesionales que el es el producto que el cliente puede ver, es por lo que la empresa ha pagado y se espera mucho de él, por tanto debemos realizarlo lo mejor que podamos, explicar detalladamente (la parte técnica) para que el área de sistemas puedan entender los problemas encontrados y también lo suficientemente claro como para que un gerente entienda que es lo que esta pasando en la empresa.

El reporte o informe cobra especial importancia para aquellos profesionales que trabajamos independientes, ya que con él, nuestro cliente sacará una conclusión del trabajo realizado, asumiendo que si el reporte esta bien hecho, el trabajo estará igual, por lo que muchas veces del reporte entregado depende el que nos vuelvan a contratar en dicha empresa o nos recomienden con otra.

Personalmente me gusta leer reportes de otras personas/empresas ya que normalmente se suele aprender mucho de ellos, alguna nueva forma de extraer información o ingresar a un equipo, pero también se aprende mucho de como se presenta dicha información, extrayendo lo que me parece interesante para hacerlo igual en mi próximo informe.

Por eso les dejo hoy este , que seguramente a muchos les será de utilidad a la hora de presentar los resultados de un test de penetración en una empresa.


(Click aquí para descargar el Ejemplo Reporte de PenTest en PDF)

Espero que les sea de utilidad.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • K9

    Muy interesante.

    Se agradece :)

  • Okol

    Hola tengo un problema… quise instalar 4 distribuciones de linux – backtrack – ubuntu – backbox – fedora
    y mi problema es que al momento de iniciar desde el live cd en alguna parte de el inicio se quedaba plasmado sin poder mover nada nesesito saber cual es el error gracias
    SALUDOS

  • http://hotfixed.net Daniel Rodríguez

    Dragón muchas gracias por la mención, un saludo.

  • Yomismo

    Gracias, muy util, como siempre. XD

  • WCuestas

    Hola,

    El reporte es interesante desde la perspectiva educativa respecto a un ataque, de hecho, lo que mejor hacen en Offensive Security es entrenar y preparar el BT.

    No creo que un reporte de este tipo sea util para una organizacion porque describe con detenimiento como se realizo el “ataque controlado”, sin embargo, las recomendaciones son genericas totalmente y la calificacion del riesgo no aplica alguna forma como la de CVSS ni define una clasificacion propia.

    Tambien, es casi seguro que se dejan detalles de vulneralidades menores o divulgacion de informacion tecnica al margen y no aparece en el informe.

    Las organizaciones que contratan servicios de este tipo aprecian el detalle de la informacion del ataque, pero, aprecian mas la calificacion del riesgo para elevar la informacion hacia la gestion de la seguridad de la informacion y las recomendaciones especificas para saber exactamente como resolver los problemas que se han encontrado.

    Lo que si rescato de ese reporte es que se aprecia que gente experta realizo las pruebas y no se limitaro a correr herramientas automatizadas y traducir reportes de las mismas.

    Saludos!

  • Salamontes

    Si alguien encuentra este report en doc u odt, estaría genial.

    Un saludo

  • http://underterminal.nixiweb.com/ q3rv0

    Justo lo que andaba buscando!…se agradece

  • http://whitehat-ethicalhat.blogspot.com whitehat

    estoy totalmente de acuerdo con el comentario realizado por Wcuestas