Al ejecutar una prueba de penetración de una aplicación web, puede generalizar varios pasos. Cada uno de ellos se caracteriza por el uso de diferentes herramientas y el mismo resultado obtenido. También se puede observar que las fases individuales no siempre ocurren de cerca una detrás de la otra. La mayoría de las veces, sin embargo, los resultados obtenidos de una etapa son a menudo entradas para la siguiente etapa. El siguiente gráfico muestra las fases extraídas de la prueba de penetración: La primera fase de la prueba de penetración de la aplicación web es principalmente para recopilar la mayor cantidad de información posible sobre la aplicación web que está siendo atacada. Cualquier persona, incluso al principio, que parezca trivial, puede ser crucial para encontrar y explotar posibles errores. Esto incluirá principalmente información sobre las tecnologías utilizadas, la identificación de la red y el sistema operativo. La siguiente fase se centra en descubrir toda la aplicación, aprender su lógica y todas las funcionalidades. Esto es necesario para evaluar y distinguir correctamente los errores de seguridad de los resultados correctos y esperados de la aplicación. A continuación se encuentra la fase de búsqueda de posibles errores. Esto se hace mediante la realización de varios tipos de pruebas. Esto le permite determinar si una funcionalidad de aplicación determinada se puede utilizar de una manera peligrosa. La fase de explotación de los errores encontrados continúa. Es aquí donde el probador de penetración prepara el vector de ataque para cualquier beneficio, por ejemplo, mediante la obtención de información confidencial. En función de los resultados obtenidos, el atacante evalúa la criticidad de la vulnerabilidad detectada. La última y más importante desde el punto de vista del cliente es la fase de documentar con precisión las vulnerabilidades detectadas y elaborar un informe sobre los estudios realizados. El documento preparado debe redactarse en un lenguaje universal que sea comprensible tanto para el personal técnico como para el personal directivo. Para facilitar las decisiones difíciles, describa las vulnerabilidades detectadas de una manera que muestre el impacto en su negocio.
Fases de la prueba de penetración
Marcar el Enlace permanente.