Buenas a todos! Hoy les voy a dejar una checklist en la que me estoy basando para realizar pentest web. Para empezar elegí esta checklist sobre la infinidad que hay porque resume el OWASP Testing Guide V4. Elegí una checklist porque soy bastante desorganizado y necesitaba un lugar organizado para ir anotando las cosas que hice y las cosas que fui encontrando, esto se debe principalmente a que en un pentest no nos enfocamos en una sola vulnerabilidad sino que hay que hacer un chequeo general del sitio web. Hay otras opciones para llevar esto a cabo, por ejemplo, tenes muy buenos mindmaps para guiarte y podes llevar tus notas en un cherrytree, a mi me me resulto mejor esta alternativa pero sepan que no es la única.
Acá está la checklist en el github del autor y acá podes descargarla de forma directa.
Aca podemos ver que contiene un código para identificar cada paso, el nombre del test que estamos realizando, una breve descripción de las tools que podemos utilizar(Pueden modificarlo y poner las que ustedes usan. después podemos desplegar un menú que nos permite elegir si paso la prueba o si tuvo algún problema y tenemos una última columna para poner comentarios.
Primeras 5 Líneas del checklist
Después tenemos otra pestaña, Summary FIndings, para ir poniendo nuestra evidencia, donde probablemente pongamos en una columna OTG-INFO-002-1 y ponemos lo que encontramos sobre esta vulnerabilidad, sería un pequeño PoC, podemos escribirlo, poner capturas, etc. Después volcaremos lo que encontramos en un informe más detallado.
Pestañas del checklist.
Por último tenemos una calculadora de riesgo que sirve para agregarle un puntaje de riesgo a cada vulnerabilidad. También puede servir para explicarle a algún programador o cliente el impacto de una manera más simple y fácil de entender.
Calculadora de riesgo.
Comentenme en mis redes sociales que si les interesa que traduzca la checklist al español y si les gusto el post! Voy a tratar de publicar de lunes a viernes alrededor de las 19/20, también pueden comentarme sobre que les interesa que haga un artículo.
Si llegaste hasta acá, muchas gracias!!
Redes:
Instagram: EthicalHackerArgentino
Twitter: HackerEticoArg