Pentesting
Las pruebas de penetraci贸n pueden tener una amplia variedad de objetivos y metas dentro de su alcance. Debido a esto, ninguna prueba de penetraci贸n es igual y no existe un caso 煤nico que sirva para todos en cuanto a c贸mo debe abordarla un probador de penetraci贸n.
Los pasos que sigue un probador de penetraci贸n durante un compromiso se conocen como metodolog铆a. Una metodolog铆a pr谩ctica es inteligente, cuando los pasos dados son relevantes para la situaci贸n en cuesti贸n. Por ejemplo, tener una metodolog铆a que usar铆as para probar la seguridad de una aplicaci贸n web no es pr谩ctico cuando tienes que probar la seguridad de una red.
Antes de discutir algunas metodolog铆as est谩ndar de la industria diferentes, debemos tener en cuenta que todas ellas tienen un tema general de las siguientes etapas:
Escenario
Descripci贸n
Recopilaci贸n de informaci贸n
Esta etapa implica recopilar tanta informaci贸n accesible p煤blicamente sobre un objetivo/organizaci贸n como sea posible, por ejemplo, OSINT e investigaci贸n. Nota: Esto no implica escanear ning煤n sistema.
Enumeraci贸n/Escaneo
Esta etapa implica descubrir aplicaciones y servicios que se ejecutan en los sistemas. Por ejemplo, encontrar un servidor web que pueda ser potencialmente vulnerable.
Explotaci贸n
Esta etapa implica aprovechar las vulnerabilidades descubiertas en un sistema o aplicaci贸n. Esta etapa puede implicar el uso de exploits p煤blicos o la explotaci贸n de la l贸gica de la aplicaci贸n.
Escalada de privilegios
Una vez que haya explotado con 茅xito un sistema o aplicaci贸n (lo que se conoce como punto de apoyo), esta etapa es el intento de ampliar su acceso a un sistema. Puede escalar horizontal y verticalmente, donde horizontalmente es acceder a otra cuenta del mismo grupo de permisos (es decir, otro usuario), mientras que verticalmente es la de otro grupo de permisos (es decir, un administrador).
Post-explotaci贸n
Esta etapa consta de algunas subetapas: 1. 驴 A qu茅 otros hosts se puede apuntar (pivotar)? 2. 驴 Qu茅 informaci贸n adicional podemos recopilar del host ahora que somos un usuario privilegiado? 3. Cubriendo tus huellas 4. Informes
脷ltima actualizaci贸n