Este framework fue desarrollado por el team de Open-Sec como una forma de estandarizar los procesos de pentesting y contar con un medio de comunicación e integración de los pentesters y sus labores.
En un principio se aplicó unicamente el gráfico que se observa abajo y se han desarrollado documentos (en formato markdown) independientes que se comparten entre los pentesters del team.
Adicionalmente, se ha empleado este framework en los entrenamientos provistos por Open-Sec para, de forma implícita, orientar los procesos de pentesting adecuadamente entre los participantes. Este repositorio es un primer esfuerzo en compartir ésta documentación, pero, de una forma organizada.
Este framework ha tomado como referencia los siguientes estándares (sean oficiales por regulaciones o de facto en el rubro de seguridad) :
- Metología OSSTMM.
- OWASP Web Security Testing Guide.
- OWASP Mobile Application Security Testing Guide.
- OWASP ASVS.
- OWASP MASVS.
- PCI DSS (Requerimiento 11.3 [3.2.1] / 11.4 [4.0])
- SWFIT (Control 7.3)
No pretende ser de una guía completa o un libro o una metodología o un framework que incluya todo lo existente y lo que está por existir, solamente es un conjunto de información a la cual acudir por un ordenamiento secuencial de pasos y algunas ideas que se van modificando en el tiempo (sea por obsolescencia o por mejoras).
- RECONnaissance. (https://github.com/Open-Sec/Pentesting/blob/main/RECON.md)
- Scanning. (https://github.com/Open-Sec/Pentesting/blob/main/scanning.md)
- Testing. (https://github.com/Open-Sec/Pentesting/blob/main/testing.md)
- Analysis. (https://github.com/Open-Sec/Pentesting/blob/main/analysis.md)
