Metodologías de Penstesting

Temas de hacking ético y ciberseguridad en general. Por favor lea [Necesita Registrarse o Iniciar Sesión para ver el enlace] para que conozca todo sobre nosotros. Invita a otros miembros al foro, también puedes unirte al chat con este enlace: [Necesita Registrarse o Iniciar Sesión para ver el enlace].

Nota: Publique aquí lo que no esté en las demás categorías.
Boekroot
Mensajes: 5
Registrado: Mar Dic 11, 2018 2:28 am

Metodologías de Penstesting

Mensaje por Boekroot » Vie Mar 15, 2019 4:02 am

Tipos de de metodologías de pentesting

En este articulo veremos las diferentes metodologías que existen para pentesting, es claro que son solo algunas, unas que otras mas.
FB_IMG_1544310462559.jpg
PTES (penetration Testing Execution Standart)
Consta de 7 secciones principales. Pretende unir esfuerzos de análisis y expertos en seguridad para hacer un estándar que pueda completar una auditoria en todos sus procesos más habituales. Estos cubren todo lo relacionado con una prueba de penetración: Herramientas requeridas, Recolección de información, Análisis de vulnerabilidades, Explotación, Post-explotación, Informes.

OWASP Testing Guide
Método de test para aplicaciones web basado en dos fases: pasiva y activa. Su enfoque es “black box” preferentemente, se sabe poco o nada de la aplicación que se va a probar, incluso del contexto en el que se van a hacer las pruebas. El enfoque OWASP es abierto y colaborativo.
Fase pasiva:
Se trata de hacer pruebas hasta comprender la lógica de la aplicación que esta en fase de testing, comprobar si arroja algún elemento que pueda significar una prueba abierta para su análisis detallado.
Fase activa:
El “tester” comienza a probar todos los procesos recomendados en esta metodología. Esta fase se centra, concretamente, en 9 subcategorias de 66 procesos:
Configuration Management Testing (information gathering + configuration management), Authentication Testing, Authorization Testing, Session Management Testing, Bussines Logic Testing, Data Validation Testing, Denial of Service Testing, Web Services Testing, Ajax Testing.
ISSAF

ISSAF (information Systems Security Assessment Framework) es una muy buena fuente de referencia para las pruebas de penetración, aun que no está activa y se encuentra desactualizada. Proporciona una guía técnica de pruebas de penetración exhaustiva.
Se basa en los llamados “Criterios de evaluación” los cuales fueron elaborados por especialistas y están compuestos por los siguientes elementos: Descripcion del criterio de evaluación, puntos y objetivos a cubrir, pre-requisitos para conducir la evaluación, proceso de evaluacio, informe de los resultados esperados, contramedidas y recomendaciones, referencias y documentación externa.
images (3).jpg
OSSTM
OSSTM (Open Source Testing Methodology Manual) es una metodología para comprobar la seguridad operativa de ubicaciones físicas, flujo de trabajo, pruebas de seguridad humana, pruebas de seguridad física, pruebas de seguridad inalámbrica, pruebas de seguridad de telecomunicaciones, pruebas de seguridad de redes de datos y cumplimiento.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Ezequiel Alejandro García Gómez
(Boek root)
Estudiante de Ingeniería Industrial, miembro, colaborador de Security Hack Labs y apasionado por el Hacking.

Volver a “General”