Metodologías
Pentests
Hay varias metodologías y caminos diferentes para los pentest.
Las metodologías de pentesting, son marcos de trabajo estructurados que guían el proceso de simular ciberataques para identificar vulnerabilidades en un sistema. Vamos a ver algunas de estas metodologías :
OWASP testing Guide
esta metodología presenta un enfoque mucho mayor para identificar vulnerabilidades web
Revisión de información
Mapeo de la aplicación
Análisis de vulnerabilidades
Explotación de fallos
Reporte
PTES
Intenta establecer un estándar para la ejecución de pruebas de penetración, garantizando una cobertura completa de las áreas de seguridad
Pre-engagement interactions (acuerdos, alcances, legalidad)
Inteligencia (reconocimiento/OSINT)
Modelado de amenazas
Análisis de vulnerabilidades
Explotación
Post-explotación
Reporte
OSSTMM
es una metodología de pruebas de seguridad que proporciona un marco para evaluar la seguridad de sistemas y aplicaciones, Metodología científica enfocada en la verificación y validación de la seguridad operativa.
Ámbitos:
Interacciones humanas
Datos
Redes
Dispositivos inalámbricos
Telecomunicaciones
Físico
Se basa en métricas de seguridad como el RAV (Risk Assessment Values).
NIST SP 800-115
Guía del Instituto Nacional de Estándares y Tecnología (EE.UU.) para evaluaciones técnicas de seguridad.
Planificación
Reconocimiento y enumeración
Ataque (explotación controlada)
Informes
ISSAF
Metodología detallada usada para evaluar la seguridad de infraestructuras IT.
Planificación y Preparación
Evaluación de Seguridad
Informe y Recomendaciones
Proceso común
Este es el proceso que uso yo y muchos otros pentesters : rápido, eficaz, útil y simple
Reconocimiento y Enumeración
Explotación de vulnerabilidades identificadas
Post-explotación
Informes
Last updated