Ayuda memoria para web Pen Testers

Dentro del proceso de descubrimiento inicial de un Pen Test sobre Web, lo que principalmente buscamos conocer es:

• Logística del sitio (información relacionada con la red e infraestructura del sitio)

• Sistema operativo del objetivo
  

• Puertos en los que el objetivo esta a la escucha (puertos abiertos)
  

• Identificacion del servidor Web
  

• Identificacion de la aplicación (solo si es posible, podría ser un aplicativo desarrollado internamente)

• Información de los recursos del sitio

• Información de los servicios Web
  

  1. Crear una base de datos del conocimiento, esto para saber como proceder en fases posteriores. Cuanto mas profundo el conocimiento del objetivo el Pen Test tendrá una mayor tendencia al éxito
     

Es en esta fase (Crear una base de datos del conocimiento) que es importante poder conocer las respuestas del objetivo en relación a nuestras solicitudes, para esto el servidor se comunica con nosotros a través de mensajes de error o éxito.
Ahora identificar y conocer esa cantidad importante de mensajes del servidor que pueden generar nuestras pruebas en un servidor web, creo que podrían resumirse "en una primera instancia" a lo que se muestra a continuación, así con esta información podríamos modificar o continuar con el curso del PenTest.

• 1XX Indican mensajes del tipo información solamente.

• 2XX Indican de algún tipo éxito.
  

• 3XX Redirige la solicitud hacia otro recuso.

• 4XX Indican un error del lado del cliente.

• 5XX Indican un error del lado del servidor.

Este resumen nos ayudara mas fácilmente a conocer y comunicarnos con nuestro objetivo en esta fase de reconocimiento.