El objetivo de una Prueba de Penetración es entrar en el sistema y tomar control de él. Para entrar en un sistema, necesitamos identificar sus posibles puntos de entrada y cualquier vulnerabilidad en estos puntos. Para identificar lo anterior, necesitamos recopilar información sobre nuestros objetivos. Cuanto más sepamos sobre los objetivos, mayores serán nuestras posibilidades de penetrar con éxito en el sistema.
La recopilación de información (Information Gathering) se puede dividir de dos maneras:
- Recopilación de información pasiva
- Recopilación de información activa
En el proceso de recopilación de información pasiva, recopilamos información sobre los objetivos utilizando información disponible públicamente. Se puede utilizar recursos como who-is, Google y Censys. El objetivo es encontrar la mayor cantidad de información posible sobre el objetivo.
Recopilación activa de información podemos recopilar más información sobre estos objetivos interactuando activamente con ellos. Sin embargo, a diferencia de la recopilación pasiva de información, hacerlo sin autorización puede ser ilegal.
La recopilación activa puede realizar enumeración, fingerprinting y escaneo de puertos. Similar a la recopilación de información pasiva, el objetivo de la recopilación de información activa es recopilar la mayor cantidad de información posible.
Más sobre Pen Testing en este link
Cyberseguridad Solutions México © 2022