INFORME DE

PENTESTING
[bwapp]

21 MAY

NOMBRE DE LA COMPAÑÍA
Creado por: ALUMNO XXXXXXXXXX
2
Indice

Indice........................................................................................................................... 3
Introducción................................................................................................................ 3
Objetivos..................................................................................................................... 4
Objetivos Específicos................................................................................................. 5
Metodología empleada.............................................................................................. 5
OWASP.................................................................................................................... 5
PTES (Penetration Testing Execution Standard ).................................................6
Tipos de pruebas........................................................................................................ 7
Tipo de análisis realizado.......................................................................................... 8
Clasificación del riesgo de cada vulnerabilidad.......................................................9

Introducción
En el presente documento se exponen los resultados de las vulnerabilidades detectadas
durante la auditoría externa de los servicios web y servidores de la organización BWAPP.
Para la auditoría de seguridad informática externa o perimetral se emplean diversas técnicas
con el fin de determinar el nivel de seguridad y confidencialidad de los elementos que se
encuentran públicos por parte de la empresa.
Primero, disponemos de dos fases de recolección de información que son el footprinting y
fingerprinting con las que se realiza una recogida de información global y pública de internet
para después analizarla y determinar que roles disponen los sistemas perimetrales, puertos
abiertos, versiones públicas de productos, sistemas operativos, servicios, etcétera.
Posteriormente, Una vez se han realizado las fases de recolección de información y
enumeración, se estará en disposición de gran cantidad de información recopilada y se
procederá a su análisis. En esta información recopilada se pueden encontrar vulnerabilidades
existentes en un sistema. Hay que realizar un modelado con toda la información recopilada en
la que se determina el método de ataque más eficaz.

3
Por último, una vez se han identificado los posibles vectores de acceso y vulnerabilidades, se
planifican los métodos de ataque con mayor viabilidad para acceder a los sistemas. Por
acceder al sistema se entiende que el posible ataque que lance el auditor disponga de una vía
de conexión hacia el sistema a explotar. En definitiva, se debe disponer de la certeza de que el
sistema es vulnerable para, disponiendo del exploit o el payload, lanzar el código que permita
el acceso y, por consiguiente, el control sobre este.
Toda vulnerabilidad explotada irá acompañada de una descripción, las partes afectadas, la
identificación técnica, el nivel de criticidad, su respectiva evidencia documentada con una
captura de pantalla o volcado de datos y las recomendaciones para su prevención o
mitigación junto con sus posibles referencias para una mayor aclaración.
El objetivo de este documento reside en que posteriormente se apliquen las correspondientes
actualizaciones, parches de seguridad o medidas correctoras de las vulnerabilidades aquí
presentadas para la subsanación y posterior prevención de estas.
En NOMBRE DE EMPRESA estamos concienciados y sujetos al secreto profesional y al
cumplimiento de las leyes de protección de datos (LOPDGSS, RGDP, PCI DSS, etcétera), por lo
que toda la información y resultados aquí recogidos serán estrictamente confidenciales.

Objetivos
El nivel de seguridad se mide con tres factores:
 Confidencialidad: ¿Se almacenan o viajan los datos de manera confidencial? Es la
preservación del acceso a la información y recursos únicamente por personas
autorizadas y mediante métodos autorizados, evitando la revelación de información de
usuarios o de sistemas a terceros no autorizados.
 Integridad: ¿Se asegura la integridad de los datos? Es la protección la información
almacenada o en tránsito de alteraciones no permitidas. Las medidas de integridad se
cercioran de que los paquetes de datos enviados al receptor llegan sin ninguna
modificación.
 Disponibilidad: ¿Están los datos disponibles para los usuarios de la organización? Este
concepto define el hecho de que los usuarios puedan mantener los recursos, la
comunicación entre sistemas y el acceso a los datos siempre que sean necesarios.

4
Objetivos Específicos
Los objetivos específicos para la verificación y evaluación de la seguridad de los elementos
públicos de la organización serán los siguientes:
 Recolección de información tanto pública como privada sujeta a la aplicación y/o a la
organización.
 Identificación de fallos de configuración, vulnerabilidades y vectores de ataque.
 Explotación de las vulnerabilidades y vectores de ataque.
 Elaboración de un documento final en el cual se recopilarán los resultados de la
auditoría, es decir, las vulnerabilidades junto con sus respetivas pruebas de concepto y
las recomendaciones sobre procedimientos para subsanarlas.

Metodología empleada
La auditoría externa se centra en todos los elementos externos y públicos de la organización,
entre estos, se puede distinguir 2 grandes grupos, las aplicaciones web y los sistemas y
servidores. Dado que cada uno de ellos requiere de pruebas totalmente diferentes y
específicas hacemos uso dos metodologías:
 PTES (Penetrations Testing Execution Standard) para sistemas y servidores.
 OWASP (Open Web Application Security Project) para aplicaciones Web.
Las metodologías OWASP y PTES, presentadas en el siguiente apartado, son muy extensas y
por tanto las ajustamos y adaptamos al cliente junto con nuestra metodología para una mayor
eficiencia.
5
OWASP

Es un proyecto de código abierto dedicado a determinar las vulnerabilidades en el software.

OWASP está compuesta por empresas, organizaciones y particulares alrededor de todo el
mundo en la que participan de forma desinteresada. OWASP recomienda enfocar la seguridad
de aplicaciones informáticas considerando las dimensiones de persones, procesos y
tecnologías.
OWASP publica anualmente un listado de las diez vulnerabilidades más importantes que
suponen un riesgo para las aplicaciones y ofrece herramientas y consejos para subsanarlos.
También, crea y distribuye diferentes documentos y guías relacionados con la seguridad.
Entre estos documentos se encuentra la guía OWASP Testing Guide. Esta guía proporciona un
marco de referencia que ayuda a desarrolladores y expertos en seguridad a llevar a cabo
extensivas pruebas de seguridad sobre aplicaciones Web para detectar posibles
vulnerabilidades o agujeros de seguridad.
La metodología propone dos fases en las pruebas de seguridad. Una fase pasiva, donde se
observa el funcionamiento de la aplicación y "se juega" con todas las funcionalidades
posibles de la misma. El objetivo de esta fase es entender la lógica de operación e identificar
los posibles vectores de ataque y/o vulnerabilidades. A continuación, en una segunda fase se
ejecutarán de forma activa las pruebas propuestas según los vectores identificados en la fase
anterior.

Las pruebas se agrupan en 11 categorías para sumar un total de 91 puntos de control:

1. Recolección de información
2. Pruebas de gestión de la configuración y la implementación
3. Pruebas de gestión de identidades
4. Pruebas de autenticación
5. Pruebas de autorización
6. Pruebas de gestión de sesiones
7. Pruebas de validación de entrada
8. Pruebas de tratamiento de errores
9. Pruebas de criptografía débil
10. Pruebas de lógica de negocio
11. Pruebas del lado del cliente

A lo largo de estos puntos de control se describen pormenorizadamente y con ejemplos, las

pruebas a realizar para detectar las posibles vulnerabilidades y/o debilidades en cada

6
categoría. Temas tan importantes como la inyección SQL, fuga de información, métodos de
autenticación o cifrado débil, validación incorrecta de parámetros y otros muchos son
descritos en detalle, proporcionando al auditor una visión clara del problema de seguridad y
las contramedidas a adoptar.

La guía OWASP representa sin duda un documento de alto valor técnico que ha de tenerse
muy en cuenta de cara a evaluar la seguridad de una aplicación web.
Para más información consultar los siguientes enlaces:
 https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
 https://www.incibe-cert.es/blog/owasp-4

PTES (Penetration Testing Execution Standard )

La Penetration Testing Execution Standard (PTES) fue creada por profesionales en el área de
las auditorías de seguridad. Esta metodología se encuadra en la metodología OSSTMM,
donde unifica los esfuerzos de expertos en seguridad y de analistas para elaborar un estándar
que pueda perfeccionar una auditoría en todo su desarrollo.
InfoSec institute afirma que la prueba de penetración se divide en siete fases y que puede
utilizarse este estándar para llevar a cabo una prueba de penetración efectiva en cualquier
entorno.

ORGANIZACIÓN DE ALTO NIVEL DEL ESTÁNDAR

Un pentest o prueba de penetración se divide en siete fases y a su vez estas se dividen en
varias subfases, dependiendo de las capacidades de penetración y la seguridad de la prueba.
Las siete fases se clasificarían de la siguiente forma:

1. Interacciones previas.
2. Recolección de Información.
3. Modelado de amenazas.
4. Análisis de vulnerabilidades.
5. Explotación.
6. Postexplotación.
7. Elaboración del informe.

Para más información consultar los siguientes enlaces:

 http://www.pentest-standard.org/index.php/Main_Page
7
Tipos de pruebas
Dependiendo de la información de la que disponga el auditor de la organización o sistema a
auditar se realizarán un tipo de pruebas u otras, pudiendo englobarse en tres categorías
diferentes según proceda:

Pruebas de caja negra

El auditor toma el rol de un hacker, el cual no dispone de ningún tipo de conocimiento u
información de la empresa. El auditor se encargará de recopilar todo tipo de información
sobre el objetivo, esta información en primer lugar será pública y después irá tomando
contacto con los sistemas y servicios públicos de la empresa objetivo.

Pruebas de caja gris

El auditor toma el rol de un cliente, un empleado con pocos o ningún privilegio. El auditor
dispone de algo de información del objetivo y una visión parcial de los sistemas. Permite
ahorrar tiempo en la elaboración de los ataques, ya que se encuentra dentro de la empresa,
aunque no dispone del mismo nivel de acceso que en la de caja blanca.

Pruebas de caja blanca

El auditor adopta el rol de un usuario interno de la organización, el cual dispone de todo tipo
de información sobre el objetivo, incluso credenciales de acceso para algún sistema o
aplicación de la infraestructura objetivo. Se revisan configuraciones de sistemas, políticas,
servicios y redes, código de aplicaciones, con el fin de encontrar puntos críticos que permitan
a los usuarios con cierto grado de privilegios obtener acceso. El entorno empresarial puede
ser un esquema complejo y un foco de vulnerabilidades que, aunque no se ven, existen.

En esta auditoría se ha realizado una prueba de caja negra, ya que no contábamos con
información relevante sobre el objetivo antes de iniciarla.

Tipo de análisis realizado

Sobre el objetivo mencionado se han llevado a cabo las siguientes pruebas y análisis
enfocados a la detección de vulnerabilidades en los elementos externos de la organización,
cada una de ellas dentro de su respectiva fase de la auditoría (Marcados y resaltados):

8
 Análisis de información pública
 Extracción de información del dominio
 Respuesta a ICMP
 Ruta hasta el objetivo
 Recolección de información pública en internet (OSINT)
 Google y Shodan Hacking
 Análisis de información privada
 Descubrimiento DNS
 Banner Grabbing
 Recolección de información del sitio Web
 Emails públicos
 Emails comprometidos
 Análisis de metadatos
 Análisis de los sistemas de seguridad detectados
 Recolección de información de los sistemas de seguridad
 Identificación de los sistemas usados
 Búsqueda de vulnerabilidades y explotación
 Bypass
 Análisis de seguridad a nivel de red
 Recolección de información de la red
 Escaneo de puertos
 Creación de mapa de red
 Identificación de servicios
 Búsqueda de vulnerabilidades y explotación
 Análisis de seguridad a nivel de sistema
 Recolección de información del sistema
 Identificación del sistema/arquitectura
 Búsqueda de configuraciones erróneas o por defecto
 Búsqueda de vulnerabilidades y explotación
 Análisis de seguridad a nivel de aplicación
 Recolección de información de la aplicación
 Identificación de aplicación utilizada (CMS, BBDD, …)
 Búsqueda de vulnerabilidades y explotación
 Ataques de fuerza bruta
 Password cracking

9
Clasificación del riesgo de cada
vulnerabilidad
Con el objetivo de mejorar la identificación técnica y el establecimiento de la clasificación del
riesgo, se proporciona junto a las vulnerabilidades detalles de la identificación técnica de
estas, establecidas por organizaciones como The MITRE Corporation, FIRST y NIST:
CWE (Common Weakness Enumeration): Proporciona un marco unificado para catalogar las
vulnerabilidades de software. Es una entrada en la base de datos correspondiente a una
debilidad y no está relacionado con un producto o sistema en concreto. (muy genérica)
CVE (Common Vulnerability Exposure): Es una instancia específica de una debilidad en un
producto o sistema concreto. (muy específica)
El formato utilizado para identificar los elementos de esta lista es el siguiente CVE- YYYY-
NNNN, donde YYYY es el año de descubrimiento y NNNN el número de vulnerabilidad.
CVSS (Common Vulnerability Scoring System): Esta guía proporciona una clasificación
estandarizada y normalizada por el FIRST. Proporciona una métrica base compuesta por los
siguientes elementos:

o Vector de acceso (local, remoto, nodos adyacentes).

o Complejidad de acceso (alta, media, baja).
o Autenticación (ninguna, simple, múltiple).
o Impacto en la confidencialidad.
o Impacto en la disponibilidad.
o Impacto en la integridad.

Para más información consultar los siguientes enlaces:

 https://cwe.mitre.org
 https://cve.mitre.org
 https://www.first.org/cvss/specification-document

Informe Ejecutivo
En este apartado deberás establecer un breve análisis NO TÉCNICO con todo lo que has
encontrado, pero no un resumen ni unas conclusiones, si no explicando con palabras

10
comprensibles por cualquier persona lo que has encontrado y lo que ello podría significar para
la empresa (robo de información, cifrado y secuestro de datos, pwneo de servidor, etc..).

Informe Técnico
Aquí deberás seguir la metodología descrita en el apartado “Tipo de análisis realizado”.
Recuerda el párrafo que se indica en la introducción del informe:
Toda vulnerabilidad explotada irá acompañada de una descripción, las partes afectadas, la
identificación técnica, el nivel de criticidad, su respectiva evidencia documentada con una
captura de pantalla o volcado de datos y las recomendaciones para su prevención o
mitigación junto con sus posibles referencias para una mayor aclaración.
Este es el índice de ejemplo que te debe quedar en este apartado:

 OSINT del objetivo

 Comprobación de WAF
 Escaneo activo (nmap)
 Vuln 1
 Vuln 2
 Vuln 3
 Vuln 4
 Vuln 5
 Vuln 6
 Vuln 7
 Obtención de Shell de root

Conclusiones
Aquí debes poner las conclusiones técnicas y el nivel de criticidad total del sitio.

11