Platzi
Platzi

LA EDUCACIÓN ES UN REGALO ¡ACCEDE AL PRECIO ESPECIAL!

Antes: $249
$149
Currency
Antes: $249
Ahorras: $100
COMIENZA AHORA
Termina en: 16D : 16H : 40M : 53S

¿Qué es Pentesting?

2/33
Recursos
Transcripción

Es un acceso legal y autorizado a sistemas de información, con el objetivo de hacerlos más seguros, a través de herramientas para la identificación y explotación de vulnerabilidades.

Fases

  • Reconocimiento
  • Escaneo
  • Explotación
  • Post Explotación

Aportes 39

Preguntas 2

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

Resumen
Tema: Pentesting.

El pentesting es una abreviatura de pruebas de penetración del sistema. Pruebas consensuadas, legales y autorizadas con el propósito de hacer los sistemas más seguros.

Puede dividirse en 4 etapas:

1 Reconocimiento: Definir los objetivos de trabajo mediante la recopilación de información previa de los sistema a auditar. Junto a estos datos pueden hacerse estimaciones del tiempo de la auditoría, y puntualizar qué sistemas son auditables.

Dar valor tangible al cliente.

2 Escaneo: Identificar protocolos, vulnerabilidades y un análisis de riesgos para detectar oportunidades de mejora al sistema.

Dar valor al cliente mediante la demostración tangible de una vulnerabilidad.

3 Explotación: Se realiza el corazón de pentesting, se realiza el hackeo, se acede a los sistemas vulnerables, se obtienen privilegios de usuario y contraseña.

4 Post Explotación: Mantener o conservar privilegios, para seguir accediendo al sistema de alguna manera.

**Nota: **Se debe mapear para saber como se distribuyen los sistemas a auditar, y se realiza el proceso de las 4 fases donde se acordó el objetivo inicial junto con el cliente, posterior al primer proceso se continua al contiguo, a este se le llama Pivoting, que no necesariamente debe ser lineal, puede ser ramificado. En cada uno de estas partes del sistema se ejecutan las 4 fases de forma cíclica.

Conclusión:

Dar valor tangible al cliente es primoridial, es usar la mayor cantidad de información legible, entendible y cuestionable para que el cliente se identifique con las vulnerabilidades de su sistema y opte por implementar medidas de seguridad o no.

Pruebas de penetración de un sistema informático que suceden en un ciclo de 4 etapas y que permiten dar información sobre vulnerabilidades y posteriores implementaciones de seguridad para dar valor.

Aquí voy a ver como hackear el fb de mi ex ?

Lo de la rama de la seguridad informática que ataca o se enfoca en los errores humanos es la **Ingeniería Social**

Fases del Pentesting

<h1>1. Reconocimiento</h1>

Fase en la delimitaremos que es lo que vamos a probar y para recopilar información, que aplicaciones (web, móvil), servicios web, rangos de IP’s … etc.

  • Definir objetivos y alcance
  • Recolectar datos relevantes
  • Identificar Información clave sobre nuestros objetivos.
<h1>2. Escaneo</h1>

Identificar dentro del alcance que sistemas pueden tener vulnerabilidades.

  • Escaneo para diferentes protocolos
  • Identificación de vulnerabilidades (muchas veces al clientes solo le interesa explotarlas)
  • Análisis de potenciales riesgos.
<h1>3. Explotación</h1>

En esta etapa es en donde ya buscamos explotar las vulnerabilidades, esta actividad es la que conocemos como hackear.

  • Acceder a sistemas vulnerables.
  • Obtener privilegios.
  • Obtener información o accesos relevantes.
  • Tenemos que darle un valor agregado al cliente.
<h1>4. Post Explotación</h1>

Después de obtener acceso a un sistema intentaremos mantener y encontrar nuevos accesos.

  • Mantener o conservar el acceso o privilegio.

  • Generar nuevos accesos.

    Pivoting
    Técnica que se realiza dentro de la fase de Post Explotación, que consiste en iterar dentro del mismo proceso (Reconocimiento, Escaneo, Explotación y Post Explotación) para lograr ganar acceso a otros dispositivos dentro de la misma red.

Para iniciar el proceso de Pentesting, hablas de un documentos o contrato tienes modelo de como elaborar elcontrato ???

Pentesting - Acceso legal y autorizado a sistemas de información con el objetivo de hacerlos mas seguros.

Mis apuntes:

Fases en el Pentesting

  1. Reconocimiento: Definir nuestros objetivos, recopilar información, saber cual es el alcance de la auditoría, recolectar datos relevantes (del cliente y de forma externa), identificar información clave.
  2. Escaneo: Identificar dentro del alcance cuáles son los sistemas que tiene el cliente y dentro de estos cuales podrían tener vulnerabilidades.* Ademas puedes encontrar problemas que no son críticos como por ejemplo una aplicación desactualizada. un parche, etc.
  3. Explotación: Es acceder a los sistemas que son vulnerables, y tratar de obtener privilegios, información relevantes.
  4. Post Explotación:Mantener o conservar el acceso o privilegios, generar nuevos accesos, o un rooteo.

REEP

  1. Reconocimiento
    Escaneo
    Explotacion
    PostExplotacion

REEP

  • El pentesting es el acceso legal y autorizado a los sistemas de información, con el objetivo de hacerlos mas seguros, a través de herramientas para el hallazgo y explotación de vulnerabilidades.
  • Fases
    • Reconocimiento. Definir objetivos, alcance, recolección de datos.
    • Escaneo, identificar vulnerabilidades de sistemas, Matriz de riesgos.
    • Explotación, Acceder a los sistemas vulnerables, acceder información relevante.
    • Post Explotación, Mantener los acceso, generar nuevos acceso.
  • Pivoting, Iterar el proceso de las 4 fases, con el fin de poder ir avanzando por toda la red.

Reconocimiento: Definir objetivos, Recolectar datos relevantes, Identificar información clave sobre nuestros objetivos, Aquí ya hay vulnerabilidades.
Escaneo: Escaneo para diferentes protocolos, identificacion de vulnerabilidades, Analisis de potenciales riesgos.
Explotación: Acceder a sistemas vulnerabilidades, obtener privilegios, obtener información o accesos relevantes, tenemos que darle un valor agregado al cliente.
Post Explotación: Mantener o conservar el acceso o privilegios, generar nuevos accesos.

Quizas faltó mencionar el concepto de hacking etico el cual se puede decir que engloba al pentesting. El hacking ético es un término completo y las pruebas de penetración son una de las funciones del hacker ético.

Para más información recomiendo leer este articulo: https://www.blog.binaria.uno/2020/05/08/pruebas-de-penetracion-vs-hacking-etico-cual-es-la-diferencia/

Pivoting

muy interesantes, este curso requiere algun conocimiento previo? o prerequisitos?

Tener en cuenta que el cliente no es tan técnico, por esa razón, hay que mencionarle los hallazgos encontrados enfocados principalmente en cosas que le afecten directamente la lógica del negocio.

Explotación - En esta etapa es en donde ya buscamos explotar las vulnerabilidades, esta actividad es la que conocemos como **hackear**.

Reconocimiento - Fase en la delimitaremos que es lo que vamos a probar, que aplicaciones (web, móvil), servicios web, rangos de IP's ... etc.

Pinta super interesante este curso!

Todo muy claro y bien explicado

Tengo preguntas:
En hack the box te pagan por hackear o te tienen que contratar?
Terminando la carrera de seguridad informática en platzi ¿Se puede trabajar de pentester? y como seria eso.

Información valiosa!

Excelente lo que vamos a ver.

a por ello…

A encontrar exploids!!

Muy buena definición y bien explicado.

Intresante el concepto de pivoting. Totalmente desconocido para mi, pero bastante relevante a mi parecer. ITERAR 🌀

Excelentes fases

Muy claro el concepto.

Ciberseguridad Rules! buen abreboca del Pentesting

Fases - Reconocimiento, Escaneo, Explotación, Post Explotación

Buenas noches profesor y compañaeros
Muy buena explicacion de que es el Pivoting, vamos genial.

Sl2

Toda esta información es muy valiosa, gracias

Post explotación

Explotación

Escaneo

Reconocimiento

Definición de pentesting

Excelente que el maestro haga hincapié en que el Pentesting tiene como objetivo hacer más seguro los sistemas informáticos y no el probar las habilidades de “hacker” de quien lo efectúa, me parece muy acertada su apreciación al respecto.
.
Tuve el gusto de tomar con el mismo profesor el curso de Informática Forense, se los recomiendo ampliamente, tiene excelente didáctica el maestro Juan Pablo Caro.

A empezar!