Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PENTESTING
[bwapp]
21 MAY
NOMBRE DE LA COMPAÑÍA
Creado por: ALUMNO XXXXXXXXXX
2
Indice
Indice........................................................................................................................... 3
Introducción................................................................................................................ 3
Objetivos..................................................................................................................... 4
Objetivos Específicos................................................................................................. 5
Metodología empleada.............................................................................................. 5
OWASP.................................................................................................................... 5
PTES (Penetration Testing Execution Standard ).................................................6
Tipos de pruebas........................................................................................................ 7
Tipo de análisis realizado.......................................................................................... 8
Clasificación del riesgo de cada vulnerabilidad.......................................................9
Introducción
En el presente documento se exponen los resultados de las vulnerabilidades detectadas
durante la auditoría externa de los servicios web y servidores de la organización BWAPP.
Para la auditoría de seguridad informática externa o perimetral se emplean diversas técnicas
con el fin de determinar el nivel de seguridad y confidencialidad de los elementos que se
encuentran públicos por parte de la empresa.
Primero, disponemos de dos fases de recolección de información que son el footprinting y
fingerprinting con las que se realiza una recogida de información global y pública de internet
para después analizarla y determinar que roles disponen los sistemas perimetrales, puertos
abiertos, versiones públicas de productos, sistemas operativos, servicios, etcétera.
Posteriormente, Una vez se han realizado las fases de recolección de información y
enumeración, se estará en disposición de gran cantidad de información recopilada y se
procederá a su análisis. En esta información recopilada se pueden encontrar vulnerabilidades
existentes en un sistema. Hay que realizar un modelado con toda la información recopilada en
la que se determina el método de ataque más eficaz.
3
Por último, una vez se han identificado los posibles vectores de acceso y vulnerabilidades, se
planifican los métodos de ataque con mayor viabilidad para acceder a los sistemas. Por
acceder al sistema se entiende que el posible ataque que lance el auditor disponga de una vía
de conexión hacia el sistema a explotar. En definitiva, se debe disponer de la certeza de que el
sistema es vulnerable para, disponiendo del exploit o el payload, lanzar el código que permita
el acceso y, por consiguiente, el control sobre este.
Toda vulnerabilidad explotada irá acompañada de una descripción, las partes afectadas, la
identificación técnica, el nivel de criticidad, su respectiva evidencia documentada con una
captura de pantalla o volcado de datos y las recomendaciones para su prevención o
mitigación junto con sus posibles referencias para una mayor aclaración.
El objetivo de este documento reside en que posteriormente se apliquen las correspondientes
actualizaciones, parches de seguridad o medidas correctoras de las vulnerabilidades aquí
presentadas para la subsanación y posterior prevención de estas.
En NOMBRE DE EMPRESA estamos concienciados y sujetos al secreto profesional y al
cumplimiento de las leyes de protección de datos (LOPDGSS, RGDP, PCI DSS, etcétera), por lo
que toda la información y resultados aquí recogidos serán estrictamente confidenciales.
Objetivos
El nivel de seguridad se mide con tres factores:
Confidencialidad: ¿Se almacenan o viajan los datos de manera confidencial? Es la
preservación del acceso a la información y recursos únicamente por personas
autorizadas y mediante métodos autorizados, evitando la revelación de información de
usuarios o de sistemas a terceros no autorizados.
Integridad: ¿Se asegura la integridad de los datos? Es la protección la información
almacenada o en tránsito de alteraciones no permitidas. Las medidas de integridad se
cercioran de que los paquetes de datos enviados al receptor llegan sin ninguna
modificación.
Disponibilidad: ¿Están los datos disponibles para los usuarios de la organización? Este
concepto define el hecho de que los usuarios puedan mantener los recursos, la
comunicación entre sistemas y el acceso a los datos siempre que sean necesarios.
4
Objetivos Específicos
Los objetivos específicos para la verificación y evaluación de la seguridad de los elementos
públicos de la organización serán los siguientes:
Recolección de información tanto pública como privada sujeta a la aplicación y/o a la
organización.
Identificación de fallos de configuración, vulnerabilidades y vectores de ataque.
Explotación de las vulnerabilidades y vectores de ataque.
Elaboración de un documento final en el cual se recopilarán los resultados de la
auditoría, es decir, las vulnerabilidades junto con sus respetivas pruebas de concepto y
las recomendaciones sobre procedimientos para subsanarlas.
Metodología empleada
La auditoría externa se centra en todos los elementos externos y públicos de la organización,
entre estos, se puede distinguir 2 grandes grupos, las aplicaciones web y los sistemas y
servidores. Dado que cada uno de ellos requiere de pruebas totalmente diferentes y
específicas hacemos uso dos metodologías:
PTES (Penetrations Testing Execution Standard) para sistemas y servidores.
OWASP (Open Web Application Security Project) para aplicaciones Web.
Las metodologías OWASP y PTES, presentadas en el siguiente apartado, son muy extensas y
por tanto las ajustamos y adaptamos al cliente junto con nuestra metodología para una mayor
eficiencia.
5
OWASP
1. Recolección de información
2. Pruebas de gestión de la configuración y la implementación
3. Pruebas de gestión de identidades
4. Pruebas de autenticación
5. Pruebas de autorización
6. Pruebas de gestión de sesiones
7. Pruebas de validación de entrada
8. Pruebas de tratamiento de errores
9. Pruebas de criptografía débil
10. Pruebas de lógica de negocio
11. Pruebas del lado del cliente
6
categoría. Temas tan importantes como la inyección SQL, fuga de información, métodos de
autenticación o cifrado débil, validación incorrecta de parámetros y otros muchos son
descritos en detalle, proporcionando al auditor una visión clara del problema de seguridad y
las contramedidas a adoptar.
La guía OWASP representa sin duda un documento de alto valor técnico que ha de tenerse
muy en cuenta de cara a evaluar la seguridad de una aplicación web.
Para más información consultar los siguientes enlaces:
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
https://www.incibe-cert.es/blog/owasp-4
La Penetration Testing Execution Standard (PTES) fue creada por profesionales en el área de
las auditorías de seguridad. Esta metodología se encuadra en la metodología OSSTMM,
donde unifica los esfuerzos de expertos en seguridad y de analistas para elaborar un estándar
que pueda perfeccionar una auditoría en todo su desarrollo.
InfoSec institute afirma que la prueba de penetración se divide en siete fases y que puede
utilizarse este estándar para llevar a cabo una prueba de penetración efectiva en cualquier
entorno.
1. Interacciones previas.
2. Recolección de Información.
3. Modelado de amenazas.
4. Análisis de vulnerabilidades.
5. Explotación.
6. Postexplotación.
7. Elaboración del informe.
En esta auditoría se ha realizado una prueba de caja negra, ya que no contábamos con
información relevante sobre el objetivo antes de iniciarla.
8
Análisis de información pública
Extracción de información del dominio
Respuesta a ICMP
Ruta hasta el objetivo
Recolección de información pública en internet (OSINT)
Google y Shodan Hacking
Análisis de información privada
Descubrimiento DNS
Banner Grabbing
Recolección de información del sitio Web
Emails públicos
Emails comprometidos
Análisis de metadatos
Análisis de los sistemas de seguridad detectados
Recolección de información de los sistemas de seguridad
Identificación de los sistemas usados
Búsqueda de vulnerabilidades y explotación
Bypass
Análisis de seguridad a nivel de red
Recolección de información de la red
Escaneo de puertos
Creación de mapa de red
Identificación de servicios
Búsqueda de vulnerabilidades y explotación
Análisis de seguridad a nivel de sistema
Recolección de información del sistema
Identificación del sistema/arquitectura
Búsqueda de configuraciones erróneas o por defecto
Búsqueda de vulnerabilidades y explotación
Análisis de seguridad a nivel de aplicación
Recolección de información de la aplicación
Identificación de aplicación utilizada (CMS, BBDD, …)
Búsqueda de vulnerabilidades y explotación
Ataques de fuerza bruta
Password cracking
9
Clasificación del riesgo de cada
vulnerabilidad
Con el objetivo de mejorar la identificación técnica y el establecimiento de la clasificación del
riesgo, se proporciona junto a las vulnerabilidades detalles de la identificación técnica de
estas, establecidas por organizaciones como The MITRE Corporation, FIRST y NIST:
CWE (Common Weakness Enumeration): Proporciona un marco unificado para catalogar las
vulnerabilidades de software. Es una entrada en la base de datos correspondiente a una
debilidad y no está relacionado con un producto o sistema en concreto. (muy genérica)
CVE (Common Vulnerability Exposure): Es una instancia específica de una debilidad en un
producto o sistema concreto. (muy específica)
El formato utilizado para identificar los elementos de esta lista es el siguiente CVE- YYYY-
NNNN, donde YYYY es el año de descubrimiento y NNNN el número de vulnerabilidad.
CVSS (Common Vulnerability Scoring System): Esta guía proporciona una clasificación
estandarizada y normalizada por el FIRST. Proporciona una métrica base compuesta por los
siguientes elementos:
Informe Ejecutivo
En este apartado deberás establecer un breve análisis NO TÉCNICO con todo lo que has
encontrado, pero no un resumen ni unas conclusiones, si no explicando con palabras
10
comprensibles por cualquier persona lo que has encontrado y lo que ello podría significar para
la empresa (robo de información, cifrado y secuestro de datos, pwneo de servidor, etc..).
Informe Técnico
Aquí deberás seguir la metodología descrita en el apartado “Tipo de análisis realizado”.
Recuerda el párrafo que se indica en la introducción del informe:
Toda vulnerabilidad explotada irá acompañada de una descripción, las partes afectadas, la
identificación técnica, el nivel de criticidad, su respectiva evidencia documentada con una
captura de pantalla o volcado de datos y las recomendaciones para su prevención o
mitigación junto con sus posibles referencias para una mayor aclaración.
Este es el índice de ejemplo que te debe quedar en este apartado:
Conclusiones
Aquí debes poner las conclusiones técnicas y el nivel de criticidad total del sitio.
11