DESARROLLO DE UN MÓDULO DE GENERACIÓN DE REPORTES DE PENTEST PARA EL PROYECTO OPEN SOURCE OWTF DE LA OWASP

Abstract

Parte importante de realizar pruebas de seguridad es generar un reporte con los descubrimientoshechos para que las partes interesadas puedan tomar decisiones. OWTF es unproyecto de código abierto que automatiza algunas de las tareas que se realizan durante unaevaluación de seguridad. A través de OWTF se pueden ejecutar distintas herramientas de seguridady los resultados pueden ser accedido a través de un reporte interactivo. Antes de estetrabajo, el reporte mostraba la salida completa de los comandos ejecutados y el análisis, deidentificar las partes relevantes, era hecho manualmente por el usuario de la plataforma. Lasolución que se presenta en este trabajo automatiza el análisis de la salida de los comandos.Información útil sobre los descubrimientos realizados, como vulnerabilidades y credencialesdébiles encontradas, es identificada y almacenada de manera de poder realizar consultassobre ésta. Los descubrimientos se presentan finalmente en un nuevo reporte.

An important part of doing a security assessment, is to generate a report showing thediscoveries which has been made, so that stakeholders can make decisions. OWTF is anopen source project that automates some of the tasks needed to be done during an assessment.Several security tools can be executed through OWTF and the results can be shown on aninteractive report. Before this work, the report contained the complete output of the executedcommands and the analysis, of identifying the relevant parts, was done manually by the userof the platform. The solution which is presented in this document, automates the analysis ofthe command output. Useful information found in the output about the discoveries, such asvulnerabilities and weak credentials, is identified and stored in a way that it can be easilyqueried. The discoveries are finally presented in a new report.