Este es un tutoriial que te explicará que hacer ANTES de empezar a hacer un pentest. Nosotros le decimos pre-engagement (lo intente traducir pero nada me convencio)
Antes de empezar tienes que ponerte de acuerdo con el cliente en cosas legales y técnicas. Por tu seguridad y la de el, TODO tiene que ser por escrito. Lo más importante son:
- El objetivo “Goal” ¿Por qué te esta contratando? (claramente no es lo mismo, porque creo que me hackearon, o me robaron X, que porque quiero cer PCI compliance)
- El alcance “scope” ¿Qué puedes hackear? Esto puede ser lógico (departamento de contabilidad, toda la empresa, etc) o físico (IP, domain, etc). Puedes hacer social engineering?
Es bastante buena idea hacer una tablita con un timetable, NDA, plan de emergencias, persona(s) de contacto y un formato de reporte autorizado,
