Compartir Información de una Prueba de Penetración utilizando Dradis

El compartir información es la clave del éxito durante una prueba de penetración. Esto es especialmente cierto cuando se trabaja con equipos los cuales está geográficamente dispersos. El framework Dradis es la mejor manera de recolectar y proporcionar información durante una prueba de penetración. De hecho fue diseñado con este propósito.

Dradis

La edición comunidad de Dradis es un framework open source para reportes, ampliable y multiplataforma, el cual permite generar reportes en un clic, lo cual ahorra horas en cada proyecto. Es particularmente cómodo para gestionar un equipo para pruebas de penetración. Se pueden mantener al equipo de pruebas informado y sincronizado utilizando Dradis para todos los planes, hallazgos, anotaciones, y adjuntos. Dradis tiene la capacidad de importar desde otras herramientas como Nmap, Nessus, Nikto, Burp Suite, etc.

El procedimiento para instalar Dradis en Kali Linux puede ser encontrado en la parte final del presente escrito.

Se ejecuta el servidor Redis. Redis es un almacenamiento estructurado para datos en memoria open source (Licenciado BSD), utilizado como base de datos, cache y agente de mensajes.

# redis-server

Ahora en otra terminal se procede a ejecutar Dradis Framework.

# dradis

Utilizando un navegador web como firefox, se ingresa hacia la interfaz de Dradis. Aquí se solicita crear una contraseña compartida, la cual será utilizada por cualquiera quien acceda hacia el servidor.

Realizado todo correctamente. Se solicita ingresar un nombre de usuario y la contraseña.

La interfaz gráfica de Dradis es bastante intuitiva, pues en unos cuantos minutos se aprenderá a utilizarla. Aunque siempre se sugiere leer la documentación para aprovechar todas sus capacidades.

Una de las más importantes capacidades de Dradis, es la de permitir exportar e importar. Se pueden importar formatos desde las herramientas más populares como Acunetix, Burp Suite, Metasploit, Nessus, Nexpose, Nikto, Nmap, OpenVas, Qualys, entre otras.

Así mismo se pueden exportar los reportes generados de utilizar Dradis en formatos para Word, HTML, CSV o Excel.

La verdadera magia de Dradis ocurre cuando varios usuarios ingresan datos al mismo tiempo. Los datos son sincronizados en el servidor, y los usuarios son consultados para refrescar sus pantallas y obtener los últimos datos. El acceso debe ser otorgado hacia el cliente, permitiéndole mantenerse al tanto del estado actual en todo momento. Luego cuando la evaluación se haya realizado, una copia de toda la base del framework puede ser dejada hacia el cliente como parte del informe.

Fuentes:

https://redis.io/
https://dradisframework.com/ce/
https://dradisframework.com/ce/documentation/install_kali.html

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1