Curso de Introducción al Pentesting
Curso de Introducción al Pentesting

Introducción al Pentesting

1

Bienvenida y presentación del curso

2

Habilidades necesarias

3

CVE, Microsoft Vuln Database

4

Enumeración de vulnerabilidades comunes

5

Enumeración y clasificación de patrones de ataque comunes

6

Sistema de puntuación de vulnerabilidades comunes

7

Seguridad por oscuridad

Ciclo de vida del Pentesting

8

Obtención de Inteligencia

9

Análisis de Vulnerabilidades

10

Técnicas de ataque y explotación de vulnerabilidades

11

Post-explotación

12

Desarrollo de informes

Introducción a los exploits

13

Vulnerabilidades de tipo 0-day

14

¿Qué son los exploits y los payloads?

15

Bases de datos de exploits

16

Tipos de exploits

Técnicas de ataque misceláneos

17

Ataques de fuerza bruta

18

Ataques de denegación de servicio

19

Spoofing

20

Fuzzing

21

Técnicas de ataques físicos

22

Instalación de Kali Linux en Vmware

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Iniciar sesión
Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Seguridad por oscuridad

7/22
Recursos

Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

SeguridadOscura.png

Principios de la seguridad por oscuridad

Se basa en los principios de Kerckhoffs que describe la seguridad en un sistema criptográfico.

  • Si el sistema no es teóricamente irrompible, al menos debe serlo en la práctica.

  • La efectividad del sistema no debe depender de que su diseño permanezca en secreto.

  • La clave debe ser fácilmente memorizable de manera que no haya que recurrir a notas escritas.

  • Los criptogramas deberán dar resultados alfanuméricos.

  • El sistema debe ser operable por una única persona.

  • El sistema debe ser fácil de utilizar.

Cuadro de diferencias sobre cómo clasificar vulnerabilidades

CVE(Common Vulnerability Exposure) CWE (Common Weakness Enumeration) CAPEC CVS (Common Vulnerability Scoring)
Listas de vulnerabilidades con un único identificador Registra vulnerabilidades de software o hardware, se clasifican por medio de códigos Son patrones de ataque que no dependen de una vulnerabilidad Define qué tan crítica es una vulnerabilidad

Contribución creada con los aportes de: Angie Espinoza

Aportes 9

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

Carlos Murgas

Carlos Murgas

hace un año

Los 6 principios de Kerckhoff, ideales para un sistema criptográfico, son los siguientes:

  1. El sistema debería ser sustancialmente - si no matemáticamente - indescifrable;
  2. El sistema no debería requerir del secreto y aunque fuese robado por el adversario, esto no habría de causar problema;
  3. La llave del sistema debería ser fácil de comunicar y guardar sin la ayuda de algo escrito, siendo también fácil cambiar o modificar la llave a discreción de los corresponsales;
  4. El sistema debería ser compatible con la comunicación telegráfica (hoy informática);
  5. El sistema debería ser portátil, y su uso u operación no debería requerir más de una persona;
  6. Finalmente, dadas las circunstancias en las cuáles aplique el sistema, debería ser fácil de usar, sin causar estrés o requerir del conocimiento de una larga serie de reglas.

Esta es la fuente dónde lo encontré (está en inglés) y también está el artículo original de Kerckhoff y otras cosas geniales, para quién guste.

Gracias por el detalle sensei. Qué molón es remontar hasta las bases de lo que hoy engloba la criptografía, ciberseguridad e incluso blockchain y las criptomonedas, en todo lo cuál el pentesting es una habilidad transversal.

GTBche

El diseño de un sistema no
debería requerir el secreto, y el
compromiso del sistema no
debería incomodar a los
corresponsales.

Auguste Kerckhoffs

angelad0

angelad0

hace 5 meses

CVE - Common Vulnerabilities and Exposures (Vulnerabilidades y explotaciones Comunes)

CWE - Common Weakness Enumeration (Enumeración de vulnerabilidades comunes)

CAPEC - Common Attacs Patrons Enumeration Clasification (Enumeración y clasificación de patrones de ataque comunes)

CVSS - Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidades comunes)

Seguridad por oscuridad (Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

Eloy Canelon

Eloy Canelon

hace 3 meses

Podemos plasmar las ideas del principio como:
Mantener el secreto del código fuente del software.
Mantener el secreto de algoritmos y protocolos utilizados.
Adopción de políticas de no revelación pública de la información sobre vulnerabilidades.

Alejandro sierra

Alejandro sierra

hace 4 meses
  • Seguridad por oscuridad es un término que viene a identificar aquellas medidas que se configuran para proteger un activo, confiando en que nadie va a buscar ahí.

En palabras de Auguste Kerckhoffs: “el diseño de un sistema no debería requerir el secreto, y el compromiso del sistema no debería incomodar a los corresponsales”.

angelad0

angelad0

hace 5 meses

**Seguridad por oscuridad **

(Cómo ocultar la llave de la puerta bajo el tapete, confiando en que nadie buscará ahí).

Roberto Gallegos

Roberto Gallegos

hace 5 meses

No se si se dieron cuenta pero el apellido de Daniel estaba con un error

Selim Abdala Nazar Zelaya

Selim Abdala Nazar Zelaya

hace 6 meses

La seguridad por oscuridad consiste en suponer que, mientras los detalles internos de un sistema o equipo no se conozcan, este estará seguro.

ZAID_RAVEN

ZAID_RAVEN

hace un año

👍