¿Cómo se realiza un Pentest?
Mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más

COMBAT Training v2.0 en Colombia

El COMBAT Training ya se realizó en la ciudad de Bogotá y la de Medellín, si quieres ver qué paso en cada una de estas ediciones, puedes entrar a: Así fue el COMBAT Training en Bogotá Así fue el COMBAT Training en Medellín ————————– _ ————————– _ ————————– La Comunidad DragonJAR y BASE4 Security traerán a colombia el COMBAT Training, una de las mas completas capacitaciones en seguridad informática, dictadas en español. Durante este curso de 5 días, el asistente aprenderá como comprometer la seguridad de toda una organización utilizando las mismas técnicas, herramientas y metodología usada por atacantes reales. Este es un curso altamente práctico, donde el asistente se enfrentará a diferentes desafíos que deberá superar, y que luego serán explicados en detalle. De esta forma, el asistente aprenderá del instructor, de sus colegas, y de sus propios errores y aciertos. MODALIDAD DEL CURSO El COMBAT training es un curso 90% práctico – 10% teórico, en donde el asistente será constantemente enfrentado a nuevos desafíos, con la guía del instructor. A cada asistente se le proveerá una máquina virtual con BACKTRACK, una distribución de Linux diseñada para Penetration Testers, desde donde se realizarán la mayoría de los laboratorios. También se proveerá una placa Wireless para ser usada durante los laboratorios de Wireless Hacking. QUIEN DEBERÍA ASISTIR Penetration Testers, Ethical Hackers, Consultores y Auditores que necesiten tener un mayor conocimiento técnico, Estudiantes de Sistemas, todos aquel los interesados en aprender como descubrir vulnerabilidades en las redes de su organización. FECHA, LUGAR Y COSTO Las fechas y las ciudades donde se realizarán las 2 capacitaciones son: BOGOTÁ: 5,6,7,8 y 9 de Abril de 9am a 6pm. MEDELLÍN: 12,13,14,15 y 16 de Abril de 9am a 6pm. El costo es de 999USD (el mismo entrenamiento en argentina tiene un costo de 1200USD) e incluye una entrada gratuita a la EKO Party de este año, certificación del training, almuerzos, refrigerios, memoria y participación el el Capture The Flag al final del curso, cuyos premios son: Espadas, dagas y estrellas ninja FORMAS DE PAGO: Realizar una consignacion bancaria en cualquier Citibank de tu ciudad a la cuenta de ahorros 1000793929 a nombre de Jaime Andrés Restrepo (despues de esto envias una copia escaneada de la consignación Sol Argento <[email protected]>). Otra forma de pago es enviar desde cualquier agente de Wester Union el dinero a nombre de Luis Alberto Cruz, Capital Federal, Argentina y remitir el numero de control de envio de dinero (MTCN) y los datos del remitente o pagador al siguiente email Sol Argento <[email protected]>. Pagar en linea con tarjeta de crédito, mediante la siguiente dirección >>http://www.base4sec.com/HyNCT2.0-colombia.html Si no tienes todo el dinero...

Leer Más

Confirmado el COMBAT Training en Colombia

Es un placer para La Comunidad DragonJAR y Base 4 Security anunciar las fechas en las que se llevará a cabo el primer COMBAT Training realizado en Colombia, debido a la gran acogida que ha tenido esta capacitación en seguridad informática, decidimos realizarlo en 2 de las principales ciudades de nuestro país, Bogotá y Medellín, en las cuales se encuentran la mayoría de los pre-inscritos. Las fechas en las que se realizarán las 2 capacitaciones son: BOGOTÁ: 5,6,7,8 y 9 de Abril de 9am a 6pm. MEDELLÍN: 12,13,14,15 y 16 de Abril de 9am a 6pm. Si apenas te enteras del COMBAT Training, te recomiendo que leas el anuncio realizado en la comunidad o descargues este documento en PDF con toda la información. Recuerden que para mantener la calidad de cada entrenamiento el numero máximo de asistentes en cada ciudad es de 20 personas, por eso es recomendable que si estas pre-inscrito, confirmes tu asistencia realizando el pago del training por alguno de estos medios, si no estas pre-inscrito pero estas interesado en asistir al entrenamiento, puedes llenar el siguiente formulario para realizar tu pre-inscripción. Es la primera vez que una capacitación en seguridad de este tipo se realiza en Colombia (al menos de forma publica), !NO te la puedes perder¡, si tienes alguna duda puedes publicarla en los comentarios, o hacerla llegar a cualquiera de estos correos sargento (arroba) base4sec.com o dragon (arroba) dragonjar.org Mas Información: COMBAT Training v2.0 en Colombia Capacitaciones Base4 Security Formas de Pago...

Leer Más

Matriux, GNU/Linux live CD para Test de Penetración

Matriux es un distribución GNU/Linux enfocada a diferentes temáticas relacionadas con la seguridad informática. Ofrece una recopilación de apartados específicos con varias herramientas involucradas en procesos de Hacking Etico, Test de Penetración, Análisis de Vulnerabilidades, Investigaciones Forenses y Administración de Redes entre otros. Estos apartados se dividen así: Reconocimiento, en el cual podemos encontrar herramientas tales como Dig, DNSWalk, Httcrack, Dmitry, Dsniff, Etherape, TCPDump, Wiresharek, entre otras. Escaneo, con herramientas como Angry IP, Cryptcat, Ettercap GUI, Httprint, Nmap, Zenmap, entre otras. Herramientas de ataque, con herramientas como BruteSSH, md5 utils, mac changer. Frameworks, en el cual nos encontramos con Fast-Track, Grendel-Scan, Inguma, Metasploit Framework. Wireless, con la suite de aircrack. Forense Digital, con herramientas tan útiles como AIR (Automated Image and Restore), Guymager, Autopsy, Pasco, Vinetto, WarVOX. Listado completo de herramientas (Más de 300). Matriux también puede ser instalada como sistema operativo base en nuestro equipo, ya que al estar basada en Debian/Ubuntu utiliza su magnífico sistema de actualización e instalación de aplicaciones. Veamos ahora un pequeño review en imágenes sobre Matriux GNU/Live CD. Pantalla de login ( Username: tiger / Password: toor ): Carga de dispositivos, aplicaciones, y escritorio: Escritorio de Matriux: Menús de Matriux: Ejecutando algunas aplicaciones en Matriux (Fast-Track, AIR, Nmap) Más información sobre Matriux (Página Oficial del proyecto) Foro de Matriux Descargar Matriux GNU/Live CD (+/- 780 Mb) Articulo escrito por David Moreno (4v4t4r) para La Comunidad DragonJAR David Moreno es Information Security Researcher con 10 años de experiencia en temáticas relacionadas con la Seguridad de la Información, Informática Forense, Ethical Hacking, Criptoanálisis y Análisis de Malware. Conferencista permanente en eventos nacionales e internacionales de seguridad informática Es investigador especializado en la compañía DEFERO, donde realiza procedimientos avanzados en Test de Penetración, Identificación y Análisis de Vulnerabilidades, Investigaciones Forenses Digitales en conjunto con entidades del gobierno, analista de Malware y...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"