El documento detalla el proceso de pruebas de penetración (pentesting) para identificar y explotar vulnerabilidades en sistemas de software, incluyendo una serie de pasos para realizar estas pruebas. También se mencionan diversas herramientas utilizadas en pentesting, como Metasploit, Wireshark y Dradis, así como sus características y propósitos. Se aclara que las pruebas de penetración son diferentes de las pruebas de vulnerabilidad, pues buscan explotar problemas en lugar de solo identificarlos.

1. WEBIMPRINTS
Herramientas de Pruebas de Penetración

2. Pruebas de Penetración
Es el método de ensayo en el que se ponen las áreas de debilidad en los sistemas
de software en términos de seguridad para poner a prueba para determinar si
"punto débil" es de hecho uno, que se puede dividir en o no.
Realizado por: Sitios web / Servidor / Redes
¿Cómo se realiza?
Paso # 1. Se inicia con una lista de vulnerabilidades / áreas con problemas
potenciales que podrían causar un fallo de seguridad de los sistemas.
Paso # 2. Si es posible, esta lista de elementos tiene que ser clasificado en el orden
de prioridad / criticidad
Paso # 3. Diseñar pruebas de penetración que trabajarían (atacar su sistema) tanto
desde dentro de la red y fuera (externamente) para determinar si se puede
acceder a los datos / red / servidor / sitio web sin autorización.
Paso # 4. Si el acceso no autorizado es posible, el sistema tiene que ser corregido y
la serie de pasos que deben volver a ejecutar hasta que se solucione el área del
problema.

3. Las herramientas que se utilizan para la pentesting se pueden clasificar en dos
tipos - En palabras simples que son: escáneres y atacantes. Esto se debe, por
definición pentesting está explotando los puntos débiles. Así que hay algunas
software / herramientas que le mostrará los puntos débiles, algunos que muestran
y ataque. Literalmente hablando, las 'show-ers' no son herramientas de pentesting
pero que son inevitables para su éxito.
Es importante tener en cuenta que la pluma-prueba no es el mismo que las
pruebas de vulnerabilidad. La intención de las pruebas de vulnerabilidad es sólo
para identificar problemas potenciales, mientras que pentesting es conectar esos
problemas.
Pruebas de Penetración

4. Metaspolit
• Este es el marco más avanzado y popular que se puede usar para para
pentesting. Se basa en el concepto de 'explotar', que es un código que puede
superar las medidas de seguridad y entrar en un determinado sistema. Si se
introduce, se ejecuta una "carga útil", un código que realiza operaciones en una
máquina de destino, creando así el marco perfecto para las pruebas de
penetración según webimprints una empresas de seguridad informática .
• Puede ser utilizado en aplicaciones web, redes, servidores, etc. Tiene una línea
de comandos y una interfaz gráfica de usuario puede hacer clic, funciona en
Linux, Apple Mac OS X y Microsoft Windows.

5. Wireshark
Esto es básicamente una analizador de protocolos de red para proporcionar los
más mínimos detalles acerca de sus protocolos de red, la información del paquete,
descifrado, etc. Se puede utilizar en Windows, Linux, OS X, Solaris, FreeBSD,
NetBSD, y muchos otros sistemas. La información que se recupera a través de esta
herramienta se puede ver a través de una interfaz gráfica de usuario, o la utilidad
TTY-mode TShark. Profesionales de Seguridad Informática en México usan mucho
ese herramienta.

6. W3afi
W3afis un Web Ataque Aplicación y el Plan de Auditoría.
Algunas de las características son: solicitudes HTTP rápidos, integración de
servidores Web y proxy en el código, la inyección de cargas útiles en diversos tipos
de peticiones HTTP etc.
Cuenta con una interfaz de línea de comandos, funciona en Linux, Apple Mac OS X
y Microsoft Windows según expertos de según webimprints una empresas de
seguridad informática

7. Dradis
Dradis es un framework de código abierto (una aplicación web) que ayuda con el
mantenimiento de la información que puede ser compartida entre los
participantes de una prueba de Penetración. La información recopilada ayuda a
entender lo que se hace y lo que hay que hacer. Se logra este propósito por medio
de plugins para leer y recopilar datos de herramientas de exploración de red, como
Nmap, w3af, Nessus, Burp Suite, Nikto y muchos más. Cuenta con una interfaz GUI,
funciona en Linux, Apple Mac OS X y Microsoft Windows. Profesionales de
Seguridad Informática en México usan mucho ese herramienta.

8. CONTACTO w w w. w e b i m p r i n t s . c o m
538 Homero # 303
Polanco, México D.F 11570
México
México Tel: (55) 9183-5420
DUBAI
702, Smart Heights Tower, Dubai
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845