Black Green Tech Programmer Presentation.pdf
- 1. PENTESTING REALIZANDO A LA UNIVERSIDAD NACIONAL SAN LUIS GONZAGA L I N O M A R T I N Q U I S P E T I N C O P A P R O G R A M A C I Ó N S E G U R A S L I D E 01 STUDIO SHODWE
- 2. S L I D E 02 STUDIO SHODWE DEFINICIÓN: El pentesting, también conocido como prueba de penetración o test de intrusión, es una técnica utilizada para evaluar la seguridad de un sistema informático, red o aplicación. Consiste en simular ataques reales que podrían llevar a cabo hackers o ciberdelincuentes con el fin de identificar y explotar posibles vulnerabilidades. El proceso de pentesting implica varias etapas -->
- 3. S L I D E 08 STUDIO SHODWE PROCESOS: El pentester recopila información sobre el objetivo, como direcciones IP, nombres de dominio, infraestructura de red y cualquier otra información relevante que pueda ayudar en el proceso de pruebas. Recopilación de información 01. Si el pentester logra explotar con éxito una vulnerabilidad, intentará obtener acceso al sistema objetivo. Obtención de acceso y escalada de privilegios 04. Una vez identificadas las vulnerabilidades, se intenta explotarlas para obtener acceso no autorizado al sistema o a la aplicación. Explotación de vulnerabilidades 03. Se lleva a cabo un escaneo y análisis exhaustivo del sistema objetivo para identificar posibles vulnerabilidades, como configuraciones incorrectas, puertos abiertos, software desactualizado o fallos en el diseño de la aplicación. Análisis de vulnerabilidades: 02. Al finalizar el proceso de pentesting, se prepara un informe detallado que incluye las vulnerabilidades encontradas, las técnicas utilizadas, los riesgos asociados y recomendaciones para solucionar los problemas identificados. Informe de resultados: 05.
- 4. STUDIO SHODWE CARACTERISTICAS 55+ Our Facilities 01 Enfoque ético: El pentesting se lleva a cabo de manera ética y legal, con el consentimiento explícito del propietario del sistema objetivo. 02 Simulación de ataques reales: El objetivo del pentesting es simular ataques reales que podrían ser realizados por hackers o ciberdelincuentes 03 Identificación de vulnerabilidades: El proceso de pentesting se centra en encontrar y explotar vulnerabilidades en sistemas, redes o aplicaciones. 04 Análisis completo: El pentesting no se limita solo a la identificación de vulnerabilidades evidentes. 05 Reporte detallado: Al finalizar el pentesting, se genera un informe detallado que resume las vulnerabilidades encontradas, los riesgos asociados y las recomendaciones para solucionarlos. 06 Mejora de la seguridad: El objetivo principal del pentesting es mejorar la seguridad del sistema evaluado. 07 Actualización constante: El pentesting evoluciona continuamente para mantenerse al día con las nuevas tecnologías y los métodos de ataque emergentes.
- 5. S L I D E 14 STUDIO SHODWE Identificación de vulnerabilidades: El pentesting permite identificar las vulnerabilidades y debilidades existentes en los sistemas, redes o aplicaciones. BENEFICIOS Protección de la reputación: Al detectar y solucionar las vulnerabilidades antes de que sean explotadas por atacantes malintencionados, el pentesting ayuda a proteger la reputación de una organización. Cumplimiento normativo: El pentesting puede ayudar a las organizaciones a cumplir con los requisitos regulatorios y normativos en materia de seguridad. Evaluación realista de la postura de seguridad: El pentesting proporciona una evaluación realista de la postura de seguridad de una organización. Mejora de la seguridad: Al descubrir y remediar las vulnerabilidades encontradas, el pentesting ayuda a mejorar la seguridad general del sistema. Ahorro de costos a largo plazo: Aunque el pentesting puede implicar una inversión inicial, puede resultar en ahorros a largo plazo.
- 6. S L I D E 12 STUDIO SHODWE Se realiza un reconocimiento práctica- realizando el pentesting 01. 01.
- 7. S L I D E 10 STUDIO SHODWE HTTrack es una herramienta de software libre y de código abierto utilizada para realizar la copia de sitios web completos. Permite descargar y almacenar localmente una réplica de un sitio web, incluyendo todos los archivos, enlaces, imágenes, estructura de directorios y otros elementos asociados. Se utilizó HTTRACK 02. 03. 04.
- 8. 05. Aquí insertamos el comando para buscar la palabra User
- 9. S L I D E 10 STUDIO SHODWE Google Hacking se refiere al uso de técnicas y operadores avanzados de búsqueda en el motor de búsqueda de Google para descubrir información sensible o vulnerabilidades en sitios web y sistemas. Aunque el término "hacking" puede dar la impresión de ser malicioso, en el contexto de Google Hacking, se refiere al uso legítimo de técnicas de búsqueda avanzadas para encontrar información pública. Tambien se puede utilizar Google Hacking https://www.exploit-db.com/google-hacking-database https://cris.unica.edu.pe/admin/login.xhtml Se encontró hoja de vida de personales 01 02
- 10. S L I D E 10 STUDIO SHODWE GDNSenum es una herramienta de código abierto que se utiliza para enumerar información y realizar análisis de servidores DNS. Esta herramienta ayuda a recopilar datos sobre un dominio específico, como registros DNS, subdominios, servidores de nombres, direcciones IP asociadas y otras configuraciones relacionadas con el sistema de nombres de dominio. DNSENUM 01 02 DATOS DE LOS RESULTADO UNIVERSIDAD NACIONAL SAN LUIS GONZAGA Sitio Web: https://www.unica.edu.pe/ Otros Subdominios: tramites.unica.pe/ bolsadetrabajo.unica.edu.pe/ gestiondocente.unica.edu.pe/ aulavirtual.unica.edu.pe/ gradosytitulos.unica.edu.pe/ realizar un OSWASP https://cris.unica.edu.pe/admin/login.xhtml https://archive.org/ Correo Electronico: mesadepartes@unica.edu.pe tic@unica.edu.pe
- 11. S L I D E 10 STUDIO SHODWE Zed Attack Proxy (ZAP) es una herramienta de seguridad de aplicaciones web de código abierto y gratuita desarrollada por OWASP (Open Web Application Security Project). ZAP es una de las herramientas de seguridad de aplicaciones web más populares y ampliamente utilizadas por profesionales de la seguridad y pentesters. ZAP se utiliza para detectar y corregir vulnerabilidades en aplicaciones web. Puede ser utilizado tanto para pruebas de seguridad de aplicaciones en desarrollo como para análisis de seguridad en aplicaciones en producción. Algunas de las características y funcionalidades clave de ZAP son: ZAP es una herramienta poderosa y flexible para la seguridad de aplicaciones web, y es utilizada tanto por expertos en seguridad como por desarrolladores para mejorar la seguridad de sus aplicaciones. Sin embargo, es importante utilizar ZAP de manera ética y respetar la ley al realizar pruebas de seguridad en aplicaciones web que no sean de su propiedad. Encontrar una vulnerabilidad en mi aplicación: https://helpdesk.develoxpert.com/ MAPEAR UNA APLICACIÓN WEB CON ZED ATTACK PROXY 01 02