marzo 28, 2024

Marco que intenta unir herramientas de test de penetración de: guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST

0
Comparte en redes sociales

OWASP OWTF es un proyecto centrado en la eficiencia de las pruebas de penetración y la alineación de las pruebas de seguridad con los estándares de seguridad como: la guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST para que los pentesters tengan más tiempo para:

  • Ver el panorama general y pensar fuera de la caja
  • Encontrar, verificar y combinar vulnerabilidades de manera más eficiente
  • Tener mas tiempo tiempo para investigar vulnerabilidades complejas como la lógica empresarial, fallas arquitectónicas o sesiones de alojamiento virtual
  • Realizar un fuzzing más táctico y dirigido en áreas mas sensibles
  • Demostrar un verdadero impacto a pesar de los cortos períodos de tiempo que normalmente se dan para probar vulenrabilidades.

La herramienta es altamente configurable y cualquiera puede crear complementos simples o agregar nuevas pruebas en los archivos de configuración sin tener experiencia en desarrollo.

Sin embargo, esta herramienta no es la panacea y solo será tan buena como la persona que la use, se requerirá comprensión y experiencia para interpretar correctamente el resultado de la herramienta y decidir qué investigar más a fondo para demostrar el impacto.

Características:

  • Resiliencia : si una herramienta falla , OWTF , pasará a la siguiente herramienta/prueba, guardando la salida parcial de la herramienta hasta que se bloquee.
  • Flexible : pausa y reanuda tu trabajo.
  • Separación de pruebas : OWTF separa su tráfico hacia el destino en principalmente 3 tipos de complementos:
    • Pasivo : no hay tráfico que se dirija al objetivo.
    • Semi pasivo : tráfico normal al objetivo
    • Activo : sondeo directo de vulnerabilidades
  • API REST extensa.
  • Tiene una guía de pruebas OWASP casi completa (v3, v4), cobertura Top 10, NIST, CWE.
  • Interfaz web : gestione fácilmente las interacciones de gran penetración.
  • Informe interactivo :
  • Clasificaciones automatizadas de complementos a partir de la salida de la herramienta, totalmente configurables por el usuario.
  • Clasificaciones de riesgo configurables
  • Editor de notas en línea para cada complemento.

Más información y descarga de Offensive Web Testing Framework (OWTF):

https://owasp.org/www-project-owtf/

Deja un comentario