Test d'intrusió i Pentesting

-

Test d'intrusió

 

 

Hui en dia, una pràctica molt interessant per comprovar les vulnerabilitats de la nostra web és el Pentesting. Però... que és el Pentesting?

Pentesting  


Pentesting prové de les paraules angleses Penetration i Testing.

Llavors, com el seu nom indica, el Pentesting es la pràctica d'atacar diversos entorns amb la finalitat de descobrir errors, vulnerabilitats o altres error de seguretat per, així, poder previndre atacs externs a aquests equips o sistemes.


És legal?


Si. El Pentesting és totalment legal sempre i quan els atacs que es relitzen siguen dirigits cap als nostres pròpis equips o els equips dels nostres clients.

Si aquest mètode no s'utilitza de la forma correcta es consideraria 'hackejar', cosa que en la majoria de països és un acte amb pena de presó.

Per deixar-ho clar, la diferència entre Pentesting i Hacking és que en la primera comptem amb l'aprovació  i el permís del propietari del sistema mentres que amb el hacking no.


Algunes aplicacions per realitzar pen testing serien les següents: 


Més sobre els Tests d'Intrusió



L'objectiu del Test d'Intrusió és avaluar l'estat dels sistemes davant d'atacs de tipus intrusiu. No hi ha una millor manera de provar la fortalesa dels sistemes de seguretat que atacar-los, per això els professionals d'Internet Security Auditors auditen els sistemes de seguretat des del punt de vista de possibles atacs externs per part de hackers.

Per realitzar aquests atacs s'utilitzaran tant tècniques com eines de hacking. Les eines utilitzades seran les mateixes que les utilitzades pels hackers.

Les pautes definides són:
  • Anàlisi de la informació pública
  • Anàlisi de Seguretat a Nivell de Xarxa
  • Anàlisi de Seguretat a Nivell de Sistema
  • Anàlisi de Seguretat a Nivell d'Aplicacions
  • Anàlisi dels Sistemes de Seguretat 

 Amb el resultat s'elabora un informe detallat on s'inclou:
  •      Resum executiu d'alt nivell amb la classificació dels resultats.
  •      Detall de totes les proves realitzades especificant el seu objectiu.
  •      Resultats obtinguts en els diferents tests que s'han realitzat.
  •      Recomanacions per solucionar de la forma més encertada els problemes de seguretat trobats.
  •      Classificació dels problemes de seguretat segons el nivell de perill.


La pàgina que vaig a utilitzar és Pentest, que ja l'hem nombrat anteriorment.







Com podem veure a la part superior tenim 40 tokens que s'utilitzaran cada vegada que realitzem un Test de Penetració. El Test que anem a realitzar nosaltres és el que està sel·leccionat per defecte "Web Server Scan", on hem de ficar l'URL de la pàgina que volem testejar.

*Aquest test costarà 20 tokens.

En el nostre cas, hem escollit hiber.tk, que és sobre la que hem treballat a l'entrada anterior.




Com podem veure, ens surt 2 tipus d'escanejos. El que ens ha fet a nosaltres és el primer ja que no som usuaris amb un compte PRO.

En el resum en surt que tenim diverses vulnerbilitats, la qual 1 d'elles és de gran risc i 2 són de baix risc.



Si seguim baixant. Podem veure detalladament les vulnerabilitats trobades amb el seu nivell de risc, la nota d'un sistema de puntuació de vulnerabilitats, un resum de quin és el risc i a quin software afecta.

Com podem veure tots els punts afecten al servidor http, per tant és una cosa que es deuria millorar.




I, finalment, podem veure alló que no ha pogut penetrar i el llistat de tests que ha realitzat aquesta pàgina i si els ha executat tots o no.

Aquest seria un breu tutorial sobre que és el Pentesting i com poder trobar les vulnerabilitats que tenim a la nostra web.

Espere que haja servit per estar més informat sobre aquest tema ja que la seguretat sempre és una cosa important si vols tindre una web seria.

Comentarios

Publicar un comentario

Entradas populares de este blog

Desplegament d'Aplicacions (Heroku)

-
Imagen
Desplegament d'Aplicacions en Heroku     A l'entrada de hui anem a seguir amb el desplegament d'aplicacions. Aquesta vegada anem a desplegar el backend de l'activitat anterior sobre una plataforma anomenada Heroku Que és Heroku? Heroku és un dels PAAS més utilitzats en l'actualitat en entorns empresarials pel seu fort enfocament en resoldre el desplegament d'una aplicació. A més et permet gestionar els servidors i les seves configuracions, escalament i l'administració. A Heroku només li dius quin llenguatge de backend estàs utilitzant o quina base de dades vas a utilitzar i et preocupes únicament pel desenvolupament de la teva aplicació. Prerequisists Una vegada entrem a la pàgina web i ens registrem ens sortirà una vista similar a aquest on podrem començar a desplegar la nostra aplicació. Al meu cas he escollit Python. Una vegada fem clic en Python ens portarà al passos per realitzar el desplegament. Tal i com indica la mateixa...
Leer más

Benvingut al meu Blogger

-
Imagen
Benvingut/da       Benvinguts a tots, em diuen Hibernon Puig Soler encara que tot el món em crida per 'Hiber' . Actualment tinc 20 anys i habite a la Pòbla del Duc, una localitat situada a la localitat de la Vall d'Albaida (província de València) encara que vaig neixer a Ròtova que és altra localitat de la província de València però de la comarca de la Safor. Actualment estic cursant 2n del Grau Superior DAW(Desenrrotllament d'Aplicacions Web) a l'institut IES l'Estació a Ontinyent. Aquest és el meu quart any a aquest institut ja que prèviament vaig cursar el Grau Mitjà de Sistemes Microinformatics i Xarxes(SMX). Aquest blog està creat amb l'intencionalitat de compartir amb tota la gent els coneixements que aprenem a classe al mòdul de Desplegament d'Aplicacions Web impartit pel professor Enrique Minguet. S'agraïria qualsevol tipus de comentari que pogués ser útil per millorar-ne tan l'aparença del blog com el contingut...
Leer más

Treballant amb git - Repositori Remot

-
Imagen
Treballant amb git - Repositori Remot   Als tutorials anteriors:  Treballant amb Git - Inici i Treballant amb Git - Branches hem aprés a treballar a nivell local. A aquesta pràctica anem a utilitzar la famosa pàgina web Github per reballar amb repositoris remots. Primerament, ens hem de crear un compter a aquesta plataforma. Una vegada creada anirem a la secció de Repositories i en crearem un nou. Quan fem clic a New se'ns redirigirà a la següent vista on ens demanarà una configuració bàsica com el nom, la visibilitat(pública o privada) i crear per defecte els arxius README, .gitignore i llicences. En aquesta pràctica anem a crear un repositori simple, aleshores no he escollit crear cap dels fitxers anomenats anteriorment. Quan l'hem creat ens eixirá el següent. Aquest imatge és bastant important ja que podem veure coses com el nostre enllaç al repositori, comandes vistes als anteriors tutorials com git add, git commit... i una comanda anomenada...
Leer más