prueba de pluma Kali

10 sitios para obtener más información sobre las pruebas de penetración

Como profesional de TI, no importa cuánto sepa sobre las pruebas de penetración hoy en día, ¡siempre hay más que aprender! Lo que sabe hoy podría quedar obsoleto a medida que la tecnología evoluciona y se transforma en nuevas innovaciones. Dicho esto, aquí hay una lista de sitios web y recursos de pruebas de penetración que serán extremadamente útiles para usted como profesional de la seguridad.

Si alguno de los sitios web ya no se puede evaluar en algún momento, realice sus propias búsquedas en línea de palabras clave como pruebas de penetración, pruebas de penetración y piratería de seguridad. También asegúrese de verificar cualquier dato que no provenga de un sitio confiable. Los sitios enumerados aquí son generalmente de buena reputación, pero aún debe considerar investigar cosas antes de implementarlas independientemente.

Una de las mejores fuentes de información que puede utilizar para sus estudios se encuentra en los archivos de ayuda de su software. Si utiliza las bases de conocimientos que vienen con la herramienta y en línea en el sitio web del proveedor, aprenderá cómo usar mejor las herramientas y ayudará a reforzar algunos de los temas y aprenderá sobre las pruebas de penetración en el camino.

Instituto SANS

SANS.org conduce al Instituto SANS, donde desde 1989 el sitio se ha llenado con una gran cantidad de información de seguridad útil que es de libre acceso para todos. Este recurso en línea se puede buscar fácilmente desde la página de inicio y dentro de él contiene muchos recursos que un pen tester puede usar, incluida la Sala de Lectura de Seguridad de la Información de SANS que alberga aproximadamente 3000 artículos de investigación originales en 110 categorías importantes de seguridad.

Puede suscribirse para recibir boletines semanales, alertas, boletines informativos, alertas de riesgo y otros elementos de correo electrónico que pueden mantenerlo al tanto de las amenazas. También puede acceder al Internet Storm Center, que es un sistema de alerta temprana de amenazas.

Hay muchos otros recursos disponibles, como plantillas, información de productos de proveedores, información sobre software de código abierto y cerrado, y mucho más.

Otro punto de interés en el sitio web de SANS es la conexión con sus áreas de enfoque en las pruebas de penetración .

prueba de pluma SANS.org
SANS.org.

Si está buscando hacer de las pruebas de penetración una carrera, estar conectado a esta comunidad y profundizar en sus recursos en línea puede ayudarlo a agregar valor a su educación y conocimiento.

LEER  Extracción de CD de audio en iTunes

Certificaciones GIAC

Otro punto de interés en el sitio web de SANS es la conexión con su brazo de certificación de SANS, que se llama GIAC (Certificación de aseguramiento de la información global) . GIAC se centra en diferentes áreas de seguridad, como respuesta y manejo de incidentes, análisis forense y, por supuesto, pruebas de penetración. Cuando esté listo, puede obtener la certificación GPEN .

Además de ser un examen estándar de la industria que evalúa su capacidad para realizar una prueba de penetración, el sitio GIAC.org también tiene una gran cantidad de información sobre las pruebas de penetración. Deberá pagar el examen y los materiales de estudio que lo acompañan. Hay otras pruebas disponibles, como Pentest + de CompTIA y otras, pero el beneficio de obtener la certificación GPEN es que puede conectarse con una comunidad de probadores de penetración expertos, además de obtener la certificación y la educación.

Certificación GIAC GPEN
La certificación GIAC GPEN.

Instituto de Ingeniería de Software

La Universidad Carnegie Mellon (CMU) ha sido durante mucho tiempo una fuente de información de seguridad asombrosa. Encontrará información sobre evaluaciones de riesgos, pruebas de penetración, análisis forense y manejo de incidentes basado en la seguridad. El sitio de CMU tiene una página de inicio de CERT que alberga publicaciones y otros trabajos académicos sobre ciberseguridad:

CERT se asocia con expertos de la industria (de áreas como la industria de la tecnología, el derecho, el gobierno y la academia) para proporcionar estudios avanzados e investigaciones sobre temas relevantes.

(Surtidos) Sitios de penetración legal

Los sitios de penetración legal son alojados de diversas formas por grupos que brindan una forma realista para que los piratas informáticos éticos aprendan habilidades reales de piratería en redes y sistemas que se han dejado en un estado semi-endurecido. Si realiza una búsqueda en Google de “Sitios de penetración legal”, obtendrá fuentes confiables para encontrar estos sitios.

Cisco.com tiene información en sus foros de ayuda, así como revistas de seguridad (otro gran recurso) y otros sitios que albergan estos centros de pruebas de penetración donde puede perfeccionar sus habilidades.

LEER  Configuración de red Ethernet en su MacBook

Si no puede permitirse el lujo de configurar su propio entorno de laboratorio para realizar pruebas, buscar recursos externos como este realmente puede ayudarlo a desarrollar sus habilidades.

Proyecto de seguridad de aplicaciones web abiertas

El Proyecto de seguridad de aplicaciones web abiertas se estableció en 2001 y actualmente es una organización sin fines de lucro que trabaja sobre la base de la colaboración grupal. OWASP es un grupo que cuenta con código abierto y lo hace sin afiliación de ningún tipo. Su enfoque está en la piratería de aplicaciones web y la seguridad de aplicaciones, software, aplicaciones web y programas.

Los marcos, la información y los recursos proporcionados ayudan a guiar a un probador de penetración en áreas de riesgo y vulnerabilidades que rodean las aplicaciones, como la piratería de API.

Este sitio realmente puede ayudarlo a comprender mejor los detalles más profundos sobre la inyección de SQL, el fuzzing y otros temas relacionados con la programación y la piratería de software , y lo que debe buscar para penetrar y explotar estos sistemas como un pirata informático ético. La siguiente imagen muestra los diez principales riesgos de seguridad de las aplicaciones en cualquier momento.

Prueba de pluma OWASP
Los diez principales riesgos de aplicación en el Proyecto de seguridad de aplicaciones web abiertas.

Sostenible

Tenable fabrica Nessus y puede visitar el sitio web para obtener más información sobre el análisis de vulnerabilidades, las pruebas de penetración y las evaluaciones de riesgos. Una de las mejores cosas que puede encontrar en el sitio web de Tenable es una serie de herramientas e información enfocadas principalmente en las pruebas de penetración. En sus trabajos de investigación hay detalles sobre cómo convertirse en un mejor probador de lápiz:

La siguiente imagen muestra el sitio web de Tenable donde puede descargar Nessus para uso de prueba o comprar una licencia para uso permanente.

descargar Nessus forpen testing
Descargando Nessus.

Nmap

Sin lugar a dudas, Nmap es una de las herramientas más populares y más utilizadas para pruebas de lápiz fuera de Nessus y Metasploit . Contenido en Kali, Nmap es una herramienta que realmente puede hacerlo todo. En el sitio web, encontrará el uso avanzado de la herramienta para incluir la subversión de firewalls, escaneos de suplantación de identidad, eludir IDS, automatización y secuencias de comandos de la herramienta, y mucho más.

Wireshark

Wireshark es una de las herramientas de facto en su kit de herramientas y una fuente principal de información para la resolución de problemas de redes, recopilación de información o pruebas de penetración.

LEER  Administra contactos con tu MacBook

Dentro del sitio web principal encontrará toneladas de información detallada sobre cómo utilizar esta herramienta. Además, los foros donde los ingenieros hablan sobre problemas y cosas que encuentran están cargados con literalmente miles de piezas de información valiosa que lo ayudarán a aprender más sobre redes, TCP / IP, Internet y cómo los paquetes y tramas atraviesan una red.

¿Necesita aprender más sobre puertos, canales, comunicaciones, sockets, protocolos, paquetes, encabezados, etc.? Este es el sitio al que debe ir para obtener más información sobre estos detalles.

Lectura oscura

En el mundo actual de las pruebas de lápiz, uno de los sitios de consulta para los profesionales de la seguridad es Dark Reading . Dark Reading ayuda a proporcionar información no solo sobre noticias antiguas, sino también de última hora, orientadas a una comunidad en línea de gurús de la seguridad y profesionales que buscan más información sobre temas como pruebas de penetración.

Encontrará boletines informativos y feeds, y las secciones sobre ataques y violaciones pueden ayudarlo a emular escenarios en sus pruebas de penetración, mantenerse al tanto de las tendencias y realizar hacks éticos para probar su postura de seguridad.

Seguridad ofensiva

De los distribuidores de Kali, Offensive Security es una empresa que se especializa en realizar pruebas de penetración. Offensive Security ofrece servicios de pruebas de penetración como un servicio y también proporcionan una certificación.

En este sitio, puede obtener más información sobre las pruebas de penetración de los expertos que lo hacen día tras día. Encontrará ejemplos de listas de verificación, herramientas, informes y muchas cosas que quizás desee emular en sus propias pruebas de penetración.

prueba de pluma Kali
Obtén acceso a Kali.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *