¿Cómo se realiza un Pentest?
Mar26

¿Cómo se realiza un Pentest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir y reparar sus problemas de seguridad, a continuación veremos la documentación mas recomendada para aprender a realizar correctamente un test de penetración. Existen diferentes metodologías para realizar un test de penetración, una de las mas famosas por ser gratuita y abierta es la OSSTMM (Open Source Security Testing Methodology Manual) del instituto para la seguridad y las metodologías abiertas ISECOM, de la que hemos hablado ya varias veces en nuestra comunidad, pero no solo de OSSTMM vive el pentester, también existen otras herramientas como la Guía de pruebas OWASP, que esta enfocada a la auditoria de aplicaciones web o ISSAF (Information Systems Security Assassment Framework) o el Penetration Testing Framework de  Vulnerability Assessment que ademas de mostrarnos la metodología a seguir, nos sugieren herramientas para realizar cada una de las etapas del Pentest. Nosotros internamente cuando prestamos nuestros servicios de seguridad informática, lo hacemos con una metodología propia, donde integramos lo mejor de las metodologías mencionadas y las fusionamos para que el solo diagrama hable por si mismo y cuando una persona se enfrente a el, sepa claramente los pasos a realizar en cada una de las etapas del pentesting, si quieres acceder a un CURSO GRATUITO de Introducción al Pentesting donde explicamos esta metodología y el paso a paso de como se debe realizar un pentest de forma gráfica y fácil de entender, solo debes hacer click en la siguiente imagen o en ESTE ENLACE . Espero que con esta documentación que les dejo, tengan mas claro como se lleva a cabo un Test de Penetración de forma...

Leer Más

NetSecL – Live CD basado en OpenSUSE enfocado a la Seguridad

NetSecL es un Live-CD basado en OpenSUSE y enfocado especialmente a la seguridad de la información. Como punto diferenciador, se ha realizado un trabajo de hardening al sistema y el núcleo esta “endurecido” usando grsecurity. Además de esto podremos encontrar casi todas las herramientas necesarias para realizar test de penetración y herramientas propias como el NetSecL firewall, la mayoría de aplicaciones funcionan con grsecurity activada, lo que es una gran labor por parte de sus desarrolladores. Requisitos para EJECUTAR o INSTALAR el NetSecL Requisitos del sistema mínimos para ejecutar el DVD en directo: 512 MB de RAM Requisitos del sistema mínimos para la instalación: 1 GB de RAM, 5 GB partición por lo menos (SATA – probado) Nota: la clave de root en el NetSecL es “linux” sin comillas. Si te gusta OpenSUSE y además de esto te apasiona la Seguridad Informática, no dudes en probar esta Distribución. Descargar NetSecL Mas Información: Pagina Oficial de NetSecL Guia de Instalación Anuncio de Versión en...

Leer Más

iPhone/iPod Touch como herramienta de Test de Penetración (Bonus)

Hace un tiempo 4v4t4r escribió un artículo bastante completo sobre como convertir el iPhone o el iPod Touch en completas herramientas para realizar test de penetración desde ellas, el artículo ilustraba paso a paso el procedimiento a seguir y las herramientas necesarias para cumplir con esta tarea. Lorenzo Martines miembro del recomendado sitio sobre seguridad informática, Security By Default, ha realizado un excelente artículo, donde nos enseña un listado de aplicaciones muy útiles, para terminar de completar nuestra caja de herramientas y convertir nuestro iPhone o iPod Touch en una maquina para realizar Pentest. Les dejo los 3 artículos y el bonus creado por Lorenzo en SbD Iphone/Ipod Touch como herramienta de Test de Penetración (I de III) Iphone/Ipod Touch como herramienta de Test de Penetración (II de III) Iphone/Ipod Touch como herramienta de Test de Penetración (III de III) Iphone/Ipod Touch como herramienta de Test de Penetración...

Leer Más

Wireshark Portable

Wireshark es una de esas herramientas que no pueden faltar a la hora de realizar un test de penetración, ya que mayoría de veces por las redes que se analizan pasan una gran cantidad de datos sin cifrar que ponen en riesgo la seguridad de la organización. El problema es que para utilizar Wireshark, es necesario instalar las librerías Wincap, lo cual necesariamente deja un rastro en el equipo utilizado, algo nada recomendable y algunas veces prohibido en este tipo de auditorias. Existe una version portable de Wireshark, pero lo que hace es instalar las librerias Wincap y luego cuando se cierra, las desinstala, lo que claramente deja rastros en el equipo utilizado; Afortunadamente Adrián Puente, Ingeniero en Seguridad de sm4rt security services realizo una version de Wireshark realmente portable, la cual no necesita instalar las librerias Wincap, se ejecuta sin problemas desde una memoria USB y deja la menor cantidad de rastro posible en la maquina. Aunque cuenta con una versión un poco viejita de Wireshack, se puede modificar sin problemas para que corra con versiones mas actuales, solo reemplazando los ejecutables de la aplicación. Descargar Wireshark Portable para Windows Mas Información: Truly Portable...

Leer Más

Video tutoriales de introducción a BackTrack

El año pasado tuve la oportunidad y el placer de asistir como ponente en varias conferencias nacionales sobre diferentes temáticas relacionadas con la seguridad de la información. Una de ellas fue el evento que cada año lidera incansablemente Diego A Salazar: Securinf; en este evento participé con dos conferencias: Análisis de Malware sobre windows y un WorkShop de BackTrack. El objetivo de este post es publicar los video tutoriales que presenté ese día. Aunque son muy cortos y básicos pueden servir para quienes recién inician en este campo de la seguridad mediante el uso de la distribución BackTrack. También debe tenerse en cuenta que estos los realicé exclusivamente para un workshop, por lo tanto no tienen audio, pues están pensados en ir mostrando la herramienta e ir explicando su funcionamiento y configuración en vivo. Haré una recopilación de lo publicado hasta el momento sobre los laboratorios de BackTrack y luego los enlaces de descarga con una pequeña descripción de los videos presentados en la conferencia. Video Tutorial BackTrack, Introducción y Conceptos Básicos Video Tutorial BackTrack: Booteo, Interfaz Gráfica y Directorios Video Tutorial: Instalación de BackTrack 4 (Pre-Final) Video Tutorial: Configuración Básica de Red en BackTrack 4 (Pre-Final) Video Tutorial: Instalación de VMWare WorkStation en BackTrack 4 (Pre-Final) ——————————————————————————————————————————————————————————– Videos del WorkShop de Backtrack: 01- Booteo BackTrack (Creación y configuración de una máquina virtual en VirtualBox – Booteo inicial de BackTrack) 02 – Ejecución inicial de BackTrack (Inicio del servicio de red, Inicio del servidor X, Cambio de contraseña, Rápido recorrido por el menú K) 03 – Recorrido por los directorios de herramientas contenidas en BackTrack -Web, Wireless, Passwords, Cisco, etc. Ejecución de servicios disponibles en BackTrack – HTTP, VNC, TFPT, etc. 04 – Escaneo e identificación  de puertos y servicios con Nmap en BackTrack. 05 – Escaneo automatizado de nuestra red con la herramienta AutoScan en BackTrack. 06 – Information Gathering/Footprinting con Maltego en BackTrack. 07 – Introducción al análisis básico de ejecutables con OllyDbg en BackTrack. 08 – Identificación de cifrados utilizados en la web con BackTrack. 09 – Escaneo e identificación de directorios y archivos sensibles en servidores web con DirBuster en BackTrack. 10 – Identificación del servidor Web con netcat y httprint. 11 – Escaneo e identificación de directorios y archivos sensibles en servidores Web con Nikto (BackTrack) y Wikto (Windows). 12 – Spidering con Wget en BackTrack. 13 – Xhydra y John The Ripper en...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"

CURSO DE INTRODUCCIÓN AL PENTESTING POR DRAGONJAR

"Guía paso a paso para realizar un pentest PROFESIONALMENTE"