No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Curso de Introducción al Pentesting

Curso de Introducción al Pentesting

Francisco Daniel Carvajal

Francisco Daniel Carvajal

Desarrollo de informes

12/22
Recursos

En el desarrollo del informe se debe de documentar:

  • Hallazgos de fuga
  • Nivel de criticidad
  • Vulnerabilidades encontradas

Qué deben contener los informes técnicos

En los informes técnicos se debe detallar:

  • Descripción de la vulnerabilidad.
  • Cómo solucionarlo.
  • Referencias extrernas.
  • Qué tan fácil es de explotar.
  • Cómo están clasificadas las vulnerabilidades.
  • Dar recomendaciones de cómo debe solucionarse y en cuánto tiempo.

Ciclo de vida del pentesting

Fase 1: Obtener información.

Fase 2: Análisis de vulnerabilidades.

Fase 3: Explotación de vulnerabilidades: se utilizan vectores de ataque basados en la información obtenida y las vulnerabilidades encontradas.

Fase 4: Validar las vulnerabilidades encontradas.

Fase 5: Elaborar un informe.

Contribución creada con los aportes de: Angie Espinoza (Platzi Contributor).

Aportes 11

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

E visto muy poca practica de este curo hasta el momento, me refiero a como descargar nexus y como mirar vulnerabilidades atraves del video, no solo es hablar tambien es bueno la practica.

Desarrollo de informes
Ultima fase del ciclo del pentesting
Objetivos

● Documentar los hallazgos de fuga de
información.
● Documentar las vulnerabilidades encontradas.
● Establecer la urgencia de resolución de
vulnerabilidades.
● Identificar el alcance de un ataque al no
solucionar los hallazgos mencionados.

En un informe técnico, se debe especificar:

  • La descripción de la vulnerabilidad encontrada
  • Como solucionarlo
  • Referencias externas
  • Que tan fácil se puede explotar
  • Que puerto afecta, en que segmento de la app afecta
  • Referencias de registro CVE de las vulnerabilidades
  • Como están clasificadas.

Ciclo de de vida del pentesting
Fases:

  • Recolección de inteligencia: Se obtiene información vital para utilizar en el/los procedimientos.
  • Análisis de vulnerabilidades: Identificar debilidades manualmente o mediante la utilización de software automatizado.
  • Explotación: Validar, manualmente o con software, la existencia de vulnerabilidades halladas en la fase anterior.
  • Post Explotación: Validar posibilidades de acceso a otros sistemas a través del sistema comprometido.
  • Registro de informe: Se realiza un informe ejecutivo si queremos que este sea resumido o un informe técnico si este tiene que ser analizado por especialistas.

Siento que dejar el link oficial de descarga de las herramientas que se habla en el curso seria buena idea.

Ciclo de vida del pentesting:
Fase 1: Obtener información.

Fase 2: Análisis de vulnerabilidades.

Fase 3: Explotación de vulnerabilidades: se utilizan vectores de ataque basados en la información obtenida y las vulnerabilidades encontradas.

Fase 4: Validar las vulnerabilidades encontradas.

Fase 5: Elaborar un informe.

Por lo general cuado relizo informes hago dos uno simplificado muy concreto de lo que paso y otro ya muy tecnico y explicando paso a paso.

Gracias

Las cinco fases del Pentesting son:
Recopilación y planificación.
Análisis de vulnerabilidades.
Modelado de amenazas.
Explotación del sistema.
Elaboración de los informes.

Objetivos:

  • Documentar los Hallazgos de fuga de información
  • Documentar las vulnerabilidades encontradas
  • Establecer la urgencia de vulnerabilidades encontradas
  • Establecer la urgencia de la resolución vulnerabilidades
  • Identificar el alcance de un ataque al no solucionar los hallazgos encontrados
Es importante que en el informe se plasmen datos de importancia como el nivel de criticidad de la vulnerabilidad y su correspondiente puntaje CVSS, para esto existe la ayuda del sitio web de FIRST que tiene una calculadora interactiva para generar el puntaje de riesgo de la vulnerabilidad: <https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:A/AC:H/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N>