PLAN DE TRABAJO

Nombre del Proyecto: Test penetracin vivaerobus Lder de Proyecto: Oscar Ruiz Hernndez Contacto del cliente:

Roles del equipo de trabajo

Nombre Rol Descripcin Explotacin de las vulnerabilidades, acceso a la red interna a travs de una vulnerabilidad web, recoleccin de evidencias de avances logrados. Entre sus actividades estar la deteccin de host activos, determinacin de mecanismos de encriptacin en la pgina, escaneo de la red. Planificacin de la intrusin. Escalamiento en los privilegio, acceso a la informacin, Aplicacin de los tipos de ataques

Anglica Marn Realizar fase de Sifuentes intrusin Berenice Aidee Exploracin Gmez Tarelo Monserrat Intrusin Domnguez Chacn

Cesar Documentacin Alejandro Esparza Martnez Martha Yadira Descubrimiento Aguilera Chvez

Bsqueda de links o referencias para poder definir los objetivos y la pagina para la realizacin del test Realizara la recopilacin de informacin, definir los objetivos. La informacin que recopilara variara por mencionar algo: direcciones IP, nombres y direcciones de los correos de los empleados, dependiendo el objetivo que se defina.

Programacin de actividades

Nombre de fase/tarea Fase 1: Documentacin Tarea 1. Buscar informacin en internet sobre Penetration Testing Tarea 2. Investigar tcnicas de Penetration Testing Tarea 3. Identificar las etapas de un Penetration test. Tarea 4. Seleccionar con la cual desarrollaremos el proyecto. Tarea 5. Investigar herramientas (software) para realizar Penetration Test. Fase 2: Exploracin. Tarea 1. Deteccin de host activos. Tarea 2. Deteccin y anlisis de servicios activos. Tarea 3. Deteccin remota de Sistemas Operativos. Fase 3: Intrusin. Tarea 1. Planificacin de la intrusin. La interaccin con el cliente. Tarea 2. Determinacin y configuracin de vectores de ataque. Tarea 3. Combinando vulnerabilidades para elevar el control. Tarea 4. Planificacin de la intrusin. Tarea 5. Determinacin y configuracin de vectores de ataque. Tarea 6. Combinando vulnerabilidades para elevar el control. Tarea 7. Acceso a informacin interna. Tarea 8. Ataques por fuerza bruta sobre servicios de autenticacin. Tarea 9. Ultimo recurso: Denial of Service. Tarea 10. Explotacin de las vulnerabilidades. Tarea 11. SQL Injection

Total de Hr 4 1 1 1 1 1 4 2 1 1 16 1 1 1 1 1 1 1 1 1 1 1

Tarea 12. Web Spoofing Tarea 13. XSS Injection Tarea 14. Iteracin sobre las fases. Tarea 15. Recolectando evidencia de los accesos logrados. Fase 4: Reporte. Tarea 1. Reporte

1 1 1 2 4 4

Entregables ENTREGABLE Fase 1 Tarea 1. Buscar informacin en internet sobre Penetration Testing Tarea 2. Investigar tcnicas de Penetration Testing Tarea 3. Identificar las etapas de un Penetration test. Tarea 4. Seleccionar con la cual desarrollaremos el proyecto. Tarea 5. Investigar herramientas (software) para realizar Penetration Test. Fase 2 Investigar sobre que es penetration testing, para introducirnos al tema, y as tener conocimientos de que es como se realiza etc. para as realizar nuestro propio test de penetracin . DESCRIPCIN

Indagar sobre las tcnicas de penetration testing para saber cmo se ejecutan, cuales son las ms fciles y efectivas para realizar el penetration testing. Al identificar las etapas podremos hacer paso a paso las actividades, esto nos facilitara el trabajo para la realizacin del penetration testing y la elaboracin del reporte. Este es un punto muy importante ya que tenemos que seleccionar a cual pagina le realizaremos el penetration testing, de ello dependern las herramientas que utilicemos.

Dependiendo las tcnicas que implementemos, nos ayudaremos de software para realizar la penetracin, pero antes de ello tenemos que ver cules son los ms indicados.

Se busca focalizar los objetivos para las posteriores etapas de Evaluacin e Intrusin, trabajando en base a los datos obtenidos durante la etapa de Descubrimiento. En esta etapa se aplican tcnicas no intrusivas para identificar todos los potenciales blancos. Incluye el anlisis de protocolos, relevamiento de plataforma y barreras

ENTREGABLE

DESCRIPCIN de proteccin, scanning de puertos TCP y UDP, deteccin remota de servicios y sistemas operativos, anlisis de banners y bsqueda de aplicaciones web. Verificar qu puertos estn abiertos para poder conocer los servicios que estn activos, para poder encontrar las vulnerabilidades del sistema. Determinar cules servicios se estn utilizando en el puerto que encontramos abierto en la tarea anterior.

Tarea 1. Deteccin de host activos. Tarea 2. Deteccin y anlisis de servicios activos. Tarea 3. Deteccin remota de Sistemas Operativos. Fase 3

Se comprueba el sistema operativo en base a la comprobacin de huellas TCP/IP.

Se focaliza en realizar pruebas de los controles de seguridad y ataques por medio de secuencias controladas a las vulnerabilidades propias de los sistemas identificados. Aqu se utiliza el conocimiento adquirido en etapas previas para buscar alternativas que permitan acceder a los sistemas y obtener el control de los mismos. Es en esta fase donde se prueba la eficiencia del equipo que lleva acabo el Penetration Test.

Tarea 1. Establecer los requerimientos de informacin necesarios para poder Planificacin de la llevar a cabo el proyecto, as como la deteccin de recursos que intrusin. La podemos obtener en internet. interaccin con el cliente. Tarea 2. Identificamos los servicios que estn expuestos como firewalls, Determinacin y servidores web, etc. configuracin de vectores de ataque. Tarea 3. Explotando vulnerabilidades simulando ataques. Probar determinados Combinando ataques para saber o encontrar ms vulnerabilidades. vulnerabilidades para elevar el control. Tarea 4. Definir y establecer los requerimientos de informacin necesarios para Planificacin de la la ejecucin del proyecto, desarrollar un plan de trabajo detallado, identificar equipos y servicios expuestos. intrusin. Tarea Determinacin 5. Analizar los diferentes vectores de ataques Web que podemos usar y (SQL Inyection, BlindSQL, TBlindSQL, XSS, LFI, RFI, CSRF, LFD, etc.) y

ENTREGABLE DESCRIPCIN configuracin de determinar cul es mejor para el proyecto. vectores de ataque. Tarea 6. Explotar las vulnerabilidades conocidas mediante ataques o simulacin de ataques para saber cual nos da mejores resultados y continuar en Combinando bsqueda de ms vulnerabilidades. vulnerabilidades para elevar el control. Tarea 7. Acceso a Hacer uso de los servicios que se encontraron abiertos para acceder a la informacin informacin interna de la empresa. interna. Tarea 8. Ataques Es posible que se realicen ataques de fuerza bruta por medio de por fuerza bruta software para obtener acceso a los servicios de autenticacin que se sobre servicios de presentan . autenticacin. Tarea 9. Ultimo Inundaremos el trfico en la red, para denegar las servicios a los recurso: Denial of usuarios y el servidor deje de funcionar, para poder intentar entrar a la red sin pedir autentificacin. Service. Tarea 10. Los puertos abiertos, los host activos, poder inyectar cdigo en los Explotacin de las formularios, y las otras vulnerabilidades encontradas en los otros pasos intentaremos explotarlas con todas las herramientas que hemos vulnerabilidades. encontrado. Tarea 11. Injection Tarea 12. Spoofing SQL Debido a la cantidad de formularios en la pagina intentaremos inyectar cdigo de SQL para poder realizar consultas y obtener informacin importante para poder tener acceso a la red.

Web Intentar cambiar la ip de origen de un paquete por la ip valida en la red para suplantar la identidad de un host valido y este paquete nos arroje informacin que nos pueda ayudar. Tarea 13. XSS Intentaremos realizar un ataque XSS, el cual se basa en explotar las vulnerabilidades de sistema de validacin de HTML incrustado. Injection Tarea 14. Iteracin Volver a realizar las fases para verificar si fueron cubiertas todas las vulnerabilidades encontradas, de lo contrario verificar los pasos sobre las fases. realizados. Tarea 15. Recolectando evidencia de los accesos logrados. Realizar un documento en donde se detalle cada una de las fases y los objetivos alcanzados en la actividad. Tendr una introduccin, datos de la pgina, por que se eligi. El desarrollo de toda la actividad, las

Fase 4.

ENTREGABLE

DESCRIPCIN complicaciones que se presentaron y como se resolvieron. Por ultimo concluyendo con el resultado del trabajo realizado y la conclusiones de cada uno de los integrantes del equipo.