En el primer post sobre la herramienta PWNDoc que puedes consultar aquí he explicado los detalles de instalación y configuración básicos para poder ejecutar la herramienta. En esta ocasión se verá cómo redactar el informe de auditoría utilizando PWNDoc y los beneficios que aporta.

Configuración de la auditoría en PWNDoc.

En el post anterior se ha creado un objeto auditoría que se ha vinculado con un lenguaje y una plantilla compatible con la herramienta (se ha utilizado la plantilla por defecto que viene incluida en el proyecto y que se puede descargar desde aquí). El siguiente paso consiste en definir las vulnerabilidades que estarán vinculadas al informe de auditoría. Para ello, solo hace falta dirigirse a “Vulnerabilities” y pinchar en el botón que pone “New Vulnerability”. Sin embargo, como se puede apreciar no hay ninguna categoría configurada y para mantener un orden y que sea más fácil de gestionar posteriormente, es mejor dirigirse a “Data” -> “Custom Data” y crear los tipos de vulnerabilidades y sus correspondientes categorías, evidentemente dependerá del contexto de la auditoría por lo tanto estos valores se deben introducir manualmente.

Una vez que se han introducido los tipos de vulnerabilidades y categorías, se puede editar la auditoría que se ha creado anteriormente y comenzar a describir los descubrimientos, defectos y vulnerabilidades.

El formulario que se puede apreciar en las imágenes anteriores se encuentra disponible en la sección de”Findings” de la auditoría y una las características más interesantes que tiene PWNDoc en este punto es que permite incluir todos los detalles que sean necesarios, incluyendo capturas de pantalla. Además, en la sección de “DETAILS” permite afinar aún más el descubrimiento/vulnerabilidad con el fin de asignarle un valor en función de su criticidad.

Como se puede apreciar en la imagen anterior, la herramienta determina el “score” siguiendo el modelo CVSSv3 y además, permite incluir contramedidas a aplicar.
A partir de este punto el uso de la herramienta consiste básicamente en hacer el mismo proceso de reportar cada una de las vulnerabilidades o defectos encontrados, introducir los detalles de dichos defectos, asignar de forma automática una puntuación en base al CVSSv3 y definir una serie de contramedidas con una prioridad especifica. Como se puede ver el uso de la herramienta es simple y permite seguir un orden en el trabajo, tener todo bien categorizado y en su sitio.
Cuando se ha terminado de introducir los “Findings” es el momento de volver al menú principal de “Audits” y descargar el informe en formato DOCX.

Como se puede ver en la última imagen aparece toda la información que se ha introducido sobre cada vulnerabilidad. El documento aparece bien ordenado y toda la información que se ha ido introduciendo en cada una de las secciones de la aplicación por lo tanto cumple con su objetivo y permite trabajar de una forma mucho más cómoda, simplemente por el hecho de que puedes crear cada detalle informativo poco a poco y no tienes que molestarte en ajustar formatos o moverte por documentos de texto que probablemente serán extensos debido al uso de imágenes, tablas y otros elementos (que también los soporta PWNDOC, es posible subir imágenes como capturas de pantalla para demostrar una vulnerabilidad).

Se trata de una herramienta que es fácil de manejar y muy útil para labores de auditoría tan comunes como redactar informes. Te recomiendo que la pruebes y compartas tu experiencia para que más personas se animen a probarla.

Un saludo y Happy Hack!
Adastra.