Canal de Telegram

28 oct 2021

Segu-Info » » OWTF: marco que une herramientas de OWASP Top 10, PTES y NIST

OWTF: marco que une herramientas de OWASP Top 10, PTES y NIST

28 oct 2021, 7:02:00 p.m.   Comenta primero!
   

OWASP Offensive Web Testing Framework (OWTF) es un proyecto centrado en la eficiencia de las pruebas de penetración y la alineación de las pruebas de seguridad con los estándares de seguridad como: la guía de pruebas OWASP (v3 y v4), OWASP Top 10, PTES y NIST para que los pentesters tengan más tiempo para:

  • Ver el panorama general y pensar fuera de la caja
  • Encontrar, verificar y combinar vulnerabilidades de manera más eficiente
  • Tener mas tiempo tiempo para investigar vulnerabilidades complejas como la lógica empresarial, fallas arquitectónicas o sesiones de alojamiento virtual
  • Realizar un fuzzing más táctico y dirigido en áreas mas sensibles
  • Demostrar un verdadero impacto a pesar de los cortos períodos de tiempo que normalmente se dan para probar vulnerabilidades.

La herramienta es altamente configurable y cualquiera puede crear complementos simples o agregar nuevas pruebas en los archivos de configuración sin tener experiencia en desarrollo.

Sin embargo, esta herramienta no es la panacea y solo será tan buena como la persona que la use, se requerirá comprensión y experiencia para interpretar correctamente el resultado de la herramienta y decidir qué investigar más a fondo para demostrar el impacto.

Características

  • Resiliencia : si una herramienta falla , OWTF , pasará a la siguiente herramienta/prueba, guardando la salida parcial de la herramienta hasta que se bloquee.
  • Flexible : pausa y reanuda tu trabajo.
  • Separación de pruebas : OWTF separa su tráfico hacia el destino en principalmente 3 tipos de complementos:
  • Pasivo : no hay tráfico que se dirija al objetivo.
  • Semi pasivo : tráfico normal al objetivo
  • Activo : sondeo directo de vulnerabilidades
  • API REST extensa.
  • Tiene una guía de pruebas OWASP casi completa (v3, v4), cobertura Top 10, NIST, CWE.
  • Interfaz web : gestione fácilmente las interacciones de gran penetración.
  • Informe interactivo :
  • Clasificaciones automatizadas de complementos a partir de la salida de la herramienta, totalmente configurables por el usuario.
  • Clasificaciones de riesgo configurables
  • Editor de notas en línea para cada complemento.

Más información y descarga de Offensive Web Testing Framework (OWTF).

Fuente: Gurú de la Informática

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!