Después de descubrir una vulnerabilidad, un evaluador de penetración o un cazarrecompensas de errores siempre debe enviar un informe a empleador. Esta es una de las partes más importantes de todo trabajo de pruebas de penetración. Un buen informe debe incluir cada detalle de la vulnerabilidad. Escribir un buen informe es imprescindible y es un arte para los cazadores de recompensas.Entonces, en este tutorial detallado, aprenderemos cómogenerar o escribir informes Acerca de nuestras vulnerabilidades KaliLinux
sistema.
Nuestro objetivo es claro, debemos ser lo más detallados posible, lo que ayudará a los desarrolladores a conocer todos los detalles sobre la vulnerabilidad y solucionarla con el parche adecuado lo más rápido posible.
Hay muchas formas de crear un informe de prueba de penetración. En este artículo detallado, aprenderemos sobre algunas herramientas que podemos utilizar para crear informes perfectos con todos los detalles.
Aquí vemos algunos de los puntos clave que siempre deben incluirse en tus informes:
-
Detalles de las vulnerabilidades que descubrimos.
-
Puntuación en el Sistema Común de Puntuación de Vulnerabilidad (CVSS).
-
El impacto de este error en la organización.
-
Se recomienda parchear la vulnerabilidad.
-
En este artículo detallado, discutiremos cómo escribir un buen informe sobre la máquina Kali Linux. Aquí utilizamos algunas buenas herramientas gratuitas para redactar informes.
Tabla de Contenidos
Generar informes usando Dradis
Dradis es una aplicación de colaboración e informes basada en navegador de código abierto para combinar resultados de diferentes aplicaciones y preparar informes. Dradis es muy fácil de usar, pero lamentablemente no viene con Kali Linux (nueva versión).
Instalar Dradis
Instalar Dradis es muy sencillo, podemos seguir Dradis Github Página. Pero hay un proceso simple. Podemos ejecutar el siguiente comando:
Este comando instalará Dradis pero llevará algún tiempo dependiendo de la velocidad de su red.
La captura de pantalla muestra el resultado del comando anterior:
Después de instalar Dradis, simplemente podemos usar el comando dradis para ejecutarlo:
Dradis es una herramienta basada en web, por lo que se ejecuta en un navegador.Después de ejecutarse, Dradis abrirá el navegador en unos segundos o tal vez necesitemos abrirlo manualmente.
Captura de pantalla a continuación:
Aquí podemos configurar nuestra contraseña compartida para acceder al marco Dradis e iniciar sesión con la contraseña.
Después de configurar la contraseña, debemos elegir un nombre de usuario e ingresar la contraseña, y seremos redirigidos al panel de Dradis como se muestra en la imagen a continuación.
La versión gratuita del marco Dradis admite complementos para herramientas como nmap, Acunetix y Nikto.
En el marco de Dradis podemos crear métodos. Estos métodos pueden verse como una lista de verificación que se puede utilizar al realizar pruebas de penetración para una organización.
Para construir un método, vamos a la pestaña Métodos y hacemos clic Agregar nuevo.
Luego especificamos un nombre y hacemos clic Añadir al proyecto.
Ahora podemos ver la lista de ejemplos creados para nosotros. Podemos editarlo haciendo clic en el botón «Editar» a la derecha.
Ahora veamos cómo organizar mejor nuestros informes de escaneo. Nos situamos en la opción Nodo del menú de la izquierda y pulsamos en el signo +. Luego se abrirá una ventana emergente donde podremos agregar el rango de red y hacer clic en Agregar.
También podemos agregar nuevos nodos secundarios seleccionando el nodo en el panel izquierdo y seleccionando la opción «Agregar nodo secundario». Este subnodo es útil cuando realizamos actividades de pruebas de penetración en la red de una organización en función de las direcciones IP del host.
Luego podemos agregar notas y capturas de pantalla como prueba de concepto del error que encontramos.
Incluso podemos importar los resultados de varias herramientas a Dradis. Esto se puede hacer seleccionando «Cargar resultados desde la herramienta» en el menú superior de Dradis.
Aquí podemos cargar nuestro archivo de salida. El marco Dradis tiene algunos complementos integrados que pueden analizar informes de diferentes herramientas.
Una vez que se completa la importación, podemos ver los resultados en el panel izquierdo en Salida del complemento. Los resultados de Dradis se pueden exportar en una variedad de formatos, como CSV, HTML, JSON.
Podemos ver el resultado del escaneo que acabamos de importar.
Asimismo, se pueden importar y combinar diferentes escaneos y exportarlos como informes utilizando la herramienta Dradis.
Así es como producimos informes de actividad de pruebas de penetración de alta calidad para organizaciones que utilizan: marco dradis en nuestro KaliLinux sistema.
MagicTree – herramienta mágica de informes
Existe otra herramienta para redactar informes llamada MagicTree. MagicTree es una herramienta de gestión de datos y generación de informes de productividad, muy similar a Dradis. Está diseñado para permitir una integración de datos simple y directa, consultas, ejecución de comandos externos y creación de informes obvios.
Se llama «Árbol» porque todos los datos se almacenan en una estructura de árbol, y «Magic» porque su diseño completa mágicamente la parte más grande y aburrida de las pruebas de penetración: la gestión de datos y los informes.
Instalar árbol mágico
MagicTree estaba preinstalado en versiones anteriores de Kali Linux, pero no en la última versión de Kali Linux. Entonces necesitamos descargarlo. Para descargarlo utilizamos el siguiente comando:
Luego se descargará el archivo jar. Este es un archivo ejecutable y no necesitamos instalarlo. Simplemente podemos usar el siguiente comando para ejecutarlo:
Luego de aceptar los términos y condiciones, podremos ver la aplicación MagicTree.
A continuación, creamos un nodo haciendo clic nodo barra de menú y navegue hastacreado automáticamente”.
En el cuadro que se abre, ingrese la dirección IP del host que desea agregar. Después de agregar un nuevo nodo, aparecerá en el panel izquierdo.
Para realizar un escaneo en el host, ingresamos vista de tabla; En la parte inferior podemos ver un cuadro titulado Orden.
Podemos realizar escaneos de Nmap en nuestros hosts recién agregados.
MagicTree nos permite consultar datos y enviarlos al shell.hacemos clic P*
y seleccionará automáticamente el host para nosotros.
Ahora, solo necesitamos ingresar el siguiente comando:
El resultado del comando anterior se muestra en la siguiente captura de pantalla.
El anfitrión se ha determinado aquí, no es necesario mencionarlo aquí.Luego hacemos clic correr.
En la captura de pantalla anterior, vemos una ventana que muestra el escaneo que se realiza junto con el resultado.Una vez completado el escaneo, haga clic en importare importarlo a MagicTree.
Asimismo, podemos ejecutar cualquier otra herramienta e importar sus informes a MagicTree.
Finalmente podemos generar informes haciendo clic Informes > Generar informe.
En la siguiente ventana podemos ver la lista de plantillas que se utilizarán para guardar el informe generado, como se muestra en la captura de pantalla siguiente.
Luego hacemos clic
generar informe y veremos que se está generando el informe.
Así es como redactamos informes sobre las actividades de pruebas de penetración. Este es el paso más importante en la piratería ética y la búsqueda de recompensas por errores.No solo Dradis y MagicTree, hay muchas más opciones para elegir, como
serpico.
Así es como escribimos o producimos un informe de trabajo de pruebas de penetración usando:
Dradis, arbol magico y serpico En o KaliLinux máquina. Para saber más sobre los tutoriales de Kali Linux, siga nuestro sitio web.
![Cómo instalar PostgreSQL 16 en Linux [RHEL Distributions]](https://muylinux.xyz/wp-content/uploads/2023/11/1700429586_Como-instalar-PostgreSQL-16-en-Linux-RHEL-Distributions-220x150.png.webp)
