Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Black Green Tech Programmer Presentation.pdf
1. PENTESTING REALIZANDO A LA
UNIVERSIDAD NACIONAL SAN LUIS
GONZAGA
L I N O M A R T I N Q U I S P E T I N C O P A
P R O G R A M A C I Ó N S E G U R A
S L I D E 01
STUDIO SHODWE
2. S L I D E 02
STUDIO SHODWE
DEFINICIÓN:
El pentesting, también conocido como prueba de penetración o
test de intrusión, es una técnica utilizada para evaluar la
seguridad de un sistema informático, red o aplicación. Consiste
en simular ataques reales que podrían llevar a cabo hackers o
ciberdelincuentes con el fin de identificar y explotar posibles
vulnerabilidades.
El proceso de pentesting implica varias etapas -->
3. S L I D E 08
STUDIO SHODWE
PROCESOS:
El pentester recopila
información sobre el objetivo,
como direcciones IP, nombres
de dominio, infraestructura de
red y cualquier otra
información relevante que
pueda ayudar en el proceso de
pruebas.
Recopilación de
información
01.
Si el pentester logra explotar con
éxito una vulnerabilidad,
intentará obtener acceso al
sistema objetivo.
Obtención de acceso y
escalada de privilegios
04.
Una vez identificadas las
vulnerabilidades, se intenta
explotarlas para obtener acceso
no autorizado al sistema o a la
aplicación.
Explotación de
vulnerabilidades
03.
Se lleva a cabo un escaneo y
análisis exhaustivo del sistema
objetivo para identificar posibles
vulnerabilidades, como
configuraciones incorrectas,
puertos abiertos, software
desactualizado o fallos en el
diseño de la aplicación.
Análisis de
vulnerabilidades:
02.
Al finalizar el proceso de
pentesting, se prepara un
informe detallado que incluye las
vulnerabilidades encontradas, las
técnicas utilizadas, los riesgos
asociados y recomendaciones
para solucionar los problemas
identificados.
Informe de
resultados:
05.
4. STUDIO SHODWE
CARACTERISTICAS
55+
Our Facilities
01
Enfoque ético: El pentesting se lleva a cabo de manera
ética y legal, con el consentimiento explícito del
propietario del sistema objetivo.
02
Simulación de ataques reales: El objetivo del pentesting
es simular ataques reales que podrían ser realizados por
hackers o ciberdelincuentes
03
Identificación de vulnerabilidades: El proceso de
pentesting se centra en encontrar y explotar
vulnerabilidades en sistemas, redes o aplicaciones.
04
Análisis completo: El pentesting no se limita solo a
la identificación de vulnerabilidades evidentes.
05
Reporte detallado: Al finalizar el pentesting, se genera un
informe detallado que resume las vulnerabilidades
encontradas, los riesgos asociados y las recomendaciones
para solucionarlos.
06 Mejora de la seguridad: El objetivo principal del
pentesting es mejorar la seguridad del sistema evaluado.
07
Actualización constante: El pentesting evoluciona
continuamente para mantenerse al día con las nuevas
tecnologías y los métodos de ataque emergentes.
5. S L I D E 14
STUDIO SHODWE
Identificación de vulnerabilidades:
El pentesting permite identificar las
vulnerabilidades y debilidades existentes en los
sistemas, redes o aplicaciones.
BENEFICIOS
Protección de la reputación:
Al detectar y solucionar las vulnerabilidades
antes de que sean explotadas por atacantes
malintencionados, el pentesting ayuda a
proteger la reputación de una organización.
Cumplimiento normativo:
El pentesting puede ayudar a las
organizaciones a cumplir con los
requisitos regulatorios y normativos en
materia de seguridad.
Evaluación realista de la postura de
seguridad:
El pentesting proporciona una evaluación
realista de la postura de seguridad de una
organización.
Mejora de la seguridad:
Al descubrir y remediar las
vulnerabilidades encontradas, el pentesting
ayuda a mejorar la seguridad general del
sistema.
Ahorro de costos a largo plazo:
Aunque el pentesting puede implicar una
inversión inicial, puede resultar en ahorros a
largo plazo.
6. S L I D E 12
STUDIO SHODWE
Se realiza un reconocimiento
práctica-
realizando
el
pentesting
01.
01.
7. S L I D E 10
STUDIO SHODWE
HTTrack es una herramienta de software libre y de
código abierto utilizada para realizar la copia de sitios
web completos. Permite descargar y almacenar
localmente una réplica de un sitio web, incluyendo
todos los archivos, enlaces, imágenes, estructura de
directorios y otros elementos asociados.
Se utilizó HTTRACK
02.
03.
04.
9. S L I D E 10
STUDIO SHODWE
Google Hacking se refiere al uso de técnicas y operadores
avanzados de búsqueda en el motor de búsqueda de Google
para descubrir información sensible o vulnerabilidades en
sitios web y sistemas. Aunque el término "hacking" puede
dar la impresión de ser malicioso, en el contexto de Google
Hacking, se refiere al uso legítimo de técnicas de búsqueda
avanzadas para encontrar información pública.
Tambien se puede utilizar Google Hacking
https://www.exploit-db.com/google-hacking-database
https://cris.unica.edu.pe/admin/login.xhtml
Se encontró hoja de vida de personales
01
02
10. S L I D E 10
STUDIO SHODWE
GDNSenum es una herramienta de código abierto que se
utiliza para enumerar información y realizar análisis de
servidores DNS. Esta herramienta ayuda a recopilar datos
sobre un dominio específico, como registros DNS,
subdominios, servidores de nombres, direcciones IP
asociadas y otras configuraciones relacionadas con el
sistema de nombres de dominio.
DNSENUM
01
02
DATOS DE LOS RESULTADO
UNIVERSIDAD NACIONAL SAN LUIS GONZAGA
Sitio Web:
https://www.unica.edu.pe/
Otros Subdominios:
tramites.unica.pe/
bolsadetrabajo.unica.edu.pe/
gestiondocente.unica.edu.pe/
aulavirtual.unica.edu.pe/
gradosytitulos.unica.edu.pe/
realizar un OSWASP
https://cris.unica.edu.pe/admin/login.xhtml
https://archive.org/
Correo Electronico:
mesadepartes@unica.edu.pe
tic@unica.edu.pe
11. S L I D E 10
STUDIO SHODWE
Zed Attack Proxy (ZAP) es una herramienta de seguridad de aplicaciones
web de código abierto y gratuita desarrollada por OWASP (Open Web
Application Security Project). ZAP es una de las herramientas de
seguridad de aplicaciones web más populares y ampliamente utilizadas
por profesionales de la seguridad y pentesters.
ZAP se utiliza para detectar y corregir vulnerabilidades en aplicaciones
web. Puede ser utilizado tanto para pruebas de seguridad de
aplicaciones en desarrollo como para análisis de seguridad en
aplicaciones en producción. Algunas de las características y
funcionalidades clave de ZAP son:
ZAP es una herramienta poderosa y flexible para la seguridad de
aplicaciones web, y es utilizada tanto por expertos en seguridad como
por desarrolladores para mejorar la seguridad de sus aplicaciones. Sin
embargo, es importante utilizar ZAP de manera ética y respetar la ley al
realizar pruebas de seguridad en aplicaciones web que no sean de su
propiedad.
Encontrar una vulnerabilidad en mi aplicación:
https://helpdesk.develoxpert.com/
MAPEAR UNA APLICACIÓN WEB CON ZED ATTACK PROXY 01
02