ESTUDIO Y DESARROLLO DE UNA APLICACIÓN PARA AUTOMATIZACIÓN DE PENTESTING

Abstract

Cuando se lleva a cabo un proceso de pentesting se realizan distintas pruebas de intrusión, cuyas primeras fases son realmente similares en diversos entornos. En este trabajo, se ha decidido implementar una aplicación denominada AER Toolkit, que integre la búsqueda de vulnerabilidades etiquetadas en el sistema de referencia Common-Vulnerabilities-Exposure (CVE), mediante herramientas conocidas en el mercado de la ciberseguridad como Nmap o Metasploit. El objetivo es la creación de un sistema de información que dé soporte a la automatización de las primeras fases de un test de intrusiones y que los usuarios finales, los administradores de seguridad de una organización o auditores, puedan utilizarlo de forma sencilla para obtener información de sus sistemas. La aplicación cuenta con una interfaz web amigable para facilitar su uso, además de una base de datos de vulnerabilidades que la desligará de la necesidad de conexión a internet para su uso tras ser poblada, y además, generará reportes con la información obtenida en el proceso. Como conclusión obtenida, queremos remarcar las posibilidades futuras de esta herramienta, ya que se pueden desarrollar infinitas integraciones para acciones específicas en intrusiones y también la mejora de tiempo que genera, permitiendo al pentester centrarse en las labores más artesanas de un test de intrusiones al liberar la carga de trabajo del inicio del proceso con herramientas automáticas conocidas en el mercado. Además, después de realizar una comparativa con otras aplicaciones disponibles para descarga en la red, se destaca su facilidad de uso y la interfaz web, que hace transparente para el usuario el análisis y explotación de vulnerabilidades en los hosts víctima.