4.test de penetración pentest

4.Test de Penetración - PENTEST Auditoría de la Seguridad

Como administrador de sistemas, una de nuestras responsabilidades es mantener la seguridad de nuestra plataforma lo menos vulnerable posible. Es importante que podamos detectar cualquier vulnerabilidad que exista antes de que esta sea aprovechado por un hacker.

Introducción.

Es el método de evaluar la seguridad de los equipos y las redes de comunicación simulando un ataque informático desde una fuente externa o interna.El proceso consiste en un análisis activo de todos los equipos de la red para detectar cualquier vulnerabilidad de seguridad por una falla en la configuración de los servidores o los equipos de seguridad.

¿Qué es un Pentest?

El auditor evalúa la seguridad de la red desde afuera de la empresa.El objetivo es acceder en forma remota a los equipos de la organización y posicionarse como administrador del sistema. El método es parecido al empleado por un hacker real. No se informa a los empleados, sobre esta auditoría.

BlackBox - Test Externo

1.Pruebas de usuarios y passwords.2.Captura de tráfico.3.Detección de conexiones4.Detección de protocolos utilizados.5.Scanning de puertos TCP, UDP e ICMP.6.Intentos de acceso vía accesos remotos.7.Análisis de la seguridad de las conexiones8.Pruebas de vulnerabilidades conocidas.9.Ataques de Denegación de Servicio. (DOS)

Pruebas Externas

Busca demostrar el nivel de seguridad con acceso interno.Se evalúa qué puede hacer un atacante interno y hasta dónde será capaz de penetrar, siendo un usuario con privilegios bajos. El auditor tiene acceso total a los equipos de la empresa.Los empleados tienen conocimiento de la auditoría y colaboran con el auditor.

WhiteBox - Test Interno

1.Análisis de protocolos internos y sus vulnerabilidades.

2.Autenticación de usuarios.3.Verificación de permisos y recursos compartidos.4.Test de los servidores principales (WWW, DNS,

etc.).5.Análisis de la seguridad de las estaciones de

trabajo.6.Seguridad de la red.7.Verificación de reglas de acceso.8.Ataques de Denegación de Servicio. (DOS).

Pruebas Internas

Es un profesional de la seguridad, que aplica sus conocimientos de hacking con fines defensivos.

¿Qué es un Hacker Ético?

Es una plataforma de pruebas de penetración y la auditoría de seguridad.Son herramientas para identificar, detectar y explotar las vulnerabilidades. Basado en Linux - Licencia Libre.

BackBox

1.Definición objetivos y alcance del PENTEST.2.Recolección de información3.Descubrimiento de destino.4.Listar equipos y programas.5.Identificar las vulnerabilidades.6.Probar la Ingeniería Social. 7.Explotación de destino. 8.Escalar privilegios.9.Mantener el acceso. 10.Documentar y hacer el informe.

Metodología de un Pentest

Google, Bing, Linkedin y otros para encontrar mails, y otros datos: theHarvester.py -d tigo.com.py -l 500 -b google

TheHarvester - Buscar Mails

Proporciona un mapa de red sobre dominios.https://www.robtex.net/?dns=presidencia.gov.py&graph=1

Muestra el historial de todas las páginas antiguas.Puede ser útil para ver información, que hoy día ya no está disponible: emails, usuarios, datos de servidores, etc.

ARCHIVE.ORG

NETCRAFT: Proporciona información de 1 sitio web:1.IP Address.2.Sistema Operativo.3.WebServer.4.Fechas de cambios.

http://toolbar.netcraft.com/site_report

Es un buscador de dispositivos inseguros en Internet:1.Cámaras. 2.Routers.3.Servidores Linux y Windows.4.Impresoras de Red.5.Centrales Telefónicas.

Ejemplo: https://www.shodan.io/search?query=Steven

Shodan.io

1.¿Qué es un PENTEST?2.¿Por qué es importante el PENTEST?3.¿Cómo es un Test Externo (BlackBox)?4.¿Cómo es un Test Interno (WhiteBox)?5.¿Qué es un hacker ético?6.¿Qué información proporciona el sitio web:

Robtex.com?7.¿Qué información proporciona la herramienta:

TheHarvester?8.¿Qué información proporciona el sitio web:

Archive.org?Responder Aquí

Preguntas

1.Encontrar email del dominio.2.Obtener Mapa de ROBTEX:

https://www.robtex.net/?dns=presidencia.gov.py&graph=1

3.Capturar una versión antigua de la página: http://www.archive.org.

4.Identificar datos de servidor con NETCRAFT:http://toolbar.netcraft.com/site_report

Tarea: Investigar un sitio web.

4.test de penetración pentest

Documents

Transcript of 4.test de penetración pentest

Pentest web

Taller Practico de Auditoria y Pentest

PenTest Bible 01 2012 Teasers

Der Schwachstellen-Test für Ihre Web-Applikation Sind Sie ... · Test (Pentest) für Web-Applikationen im BASIS-Paket zum Festpreis und als individuelle PREMIUM-Leistung zu attraktiven

PRUEBAS DE PENETRACIÓN O PENT TEST · Ethical Hacker, test de penetración, ... que tiene mínimamente los siguientes pasos:-Reunión de ... en la configuración de un servidor o

PENTEST: RECOLECCIÓN DE INFORMACIÓN

PenTest 2 - CYBSEC

Penetration Test · Penetration Test Metodologías & Usos. 2 ... A los PenTest también se los denomina Hacking Ético o Test de ... • Open Source Security Testing Methodology Manual

PENTEST Técnicas de invasão e defesa - Portal New Schoolportalnewschool.com/Arquivos/PDFS/Pentest/pentest-conisli07.pdf · Turing test to tell Computers and Humans Apart"). Conclusão

LE PENTEST FACE AU DROIT - itrust.fr pentest face au... · QUID ? Pentest/Test d'intrusion Tentative de pénétration d'un système (mise en situation d'une attaque, exploitation

Test de penetración

Pentest em SharePoint (ROADSEC2014)

Palestra: Pentest - Intrusão de Redes

Pentest en Android con Drozer

Portfolio pentest

Pentest Invasão e Defesa - AnonFeh

Recopilación de información para test de penetración

PenTest StarterKit 2013

PenTest Mag 2013 07

Memoria TFM - FDI-UCM · 2020. 10. 9. · los distintos tipos de ataques. Con la realización de una auditoría de test de penetración (Pentest) sobre el candado inteligente se demuestra