Se mostrará una visión general sobre cómo abordar un test de penetración (pentest) a una aplicación web. Para ello, se comenzará mostrando las diversas fases de que consta un test de intrusión.
Un test de penetración podría definirse como un conjunto de pruebas cuya finalidad es la de evaluar la efectividad de los protocolos de seguridad de los servicios informáticos y teleméticos de una organización. En el caso de encontrar vulnerabilidades, se intentará explotarlas.
Entre los objetivos que se requieren conseguir, se pueden citar los siguientes:
- Evadir las medidas de seguridad existentes para conseguir extraer información sensible a la que no se debería tener ecceso.
- Determinar si es posible provocar una denegación de servicio en redes y aplicaciones
- Detectar vulnerabilidades no conocidad; por ejemplo, mediante técnicas de fuzzing, que se explicarán.
El alcance y la profundidad de los puntos que se van a cubrir en el pentest deben establecerse en reuniones en el cliente. En dichos encuentros también deben determinarse otros aspectos, como la duración estimada para la realización de pruebas o la generación de informes con los resultados obtenidos.
TEMARIO
- CAPÍTULO 1. INTRODUCCIÓN AL PENTEST WEB
- 1.1 ETAPASDE UN PENTEST
- 1.2 ENTORNOS BÁSICOS DE PRUEBAS
- 1.3 FINGERPRINTINGWEB SERVERS
- 1.4 INFORMATION GATHERING
- 1.5 HACKING CON BUSCADORES
- CAPÍTULO 2. ATAQUES SQL INJECTION A BASE DE DATOS
- 2.1 OBJETIVOS
- 2.2 EL LENGUAJE SQL
- 2.3 INTRODUCCIÓN A «SQL INJECTION»
- 2.4 ATAQUES DE «SQL INJECTION»
- 2.5 «BLIND SQL INJECTION»
- 2.6 ATAQUE «MYSQL INJECTION» PARA CREAR UNAWEBSHELL
- 2.7 ATAQUE CONTRASERVIDOR DE BASES DE DATOS MEDIANTE METASPLOIT
- 2.8 XML INJECTION
- CAPÍTULO 3. CROSS SITE SCRIPTING
- 3.1 DESCRIPCIÓN DEL PROBLEMA
- 3.2 XSS REFLEJADO
- 3.3 XSS PERSISTENTE
- 3.4 DOMBASED XSS
- 3.5 CROSS SITE REQUEST FORGERY
- 3.6 EVASIÓN DE FILTROS
- 3.7 EJEMPLOSDE ATAQUES
- Etc...
