This page looks best with JavaScript enabled

Actualización v2.0 Vault de Obsidian para registro de hallazgos en Pentesting

 ·   5 min read  ·  Autor - Snifer

Hace un par de meses atrás específicamente en Abril compartimos un pequeño template el cual estaba realizado para el registro de vulnerabilidades en un proceso de pentesting, en esta entrada traemos una actualización del VAULT.

Desde la semana pasada estoy usando el template como lo tienen disponible en Github, en mi trabajo con pequeños cambios en el contenido de los datos INLINE para la visualización en las tablas, debido a los datos que requiero me dispuse a hacer cambios y como entenderán dicho template no podré compartir pero la base e idea se encuentra disponible en esta serie de entradas

Resumen de cambios realizados

  • Lo primero que adicionamos es el botón para el registro de un nuevo hallazgo.
  • Se retiró por completo el YAML dentro de cada vulnerabilidad, haciendo uso de INLINE para que el plugin Dataview obtenga los datos.
  • El otro punto es el uso de los Tags con colores del nivel de criticidad esto solo es un añadido visual.
  • También se tiene un detalle de la cantidad de hallazgos y la suma total de los mismos.
  • Uso de Plugin cMenu que brinda un modal para usarlo como editor en modo de prueba
  • Usamos el plugin Mindmap para generar mapas mentales por si necesitamos realizar alguno.
  • Mantenemos el plugin que nos permite realizar los gráficos de las vulnerabilidades

Detalle de los cambios en el Template.

Creación de un nuevo Hallazgo.

En la siguiente captura se muestra la idea que se tenía para la creación de un nuevo Hallazgo

Idea del anterior post

La creación de un nuevo hallazgo es posible con el plugin Button, al presionar el Boton respectivo nos abre una nueva nota.

Creación de un nuevo hallazgo con Button

Los datos a llenar se encuentran vacio excepto el nombre de la nota, el cual debe ser modificado.

Información INLINE adios YAML

El metadato que se encontraba anteriormente en el YAML fue eliminado totalmente como lo mencionamos con anterioridad, debido a una actualización que tuvo el plugin Dataview maneja el siguiente formato, KEY::VALUE siendo más directo la lectura de los datos.

Dataview Inline

TAGS con colores para distinguir

En este caso los tags se encuentra configurados para los estados de Critico, Alto, Medio y Bajo respectivamente esto nos ayuda a distinguir visualmente de manera rápida.

Colores en tags según criticidad

Para habilitar se debe ir a la opción Apariencia, CSS Snippets y habilitarlo o deshabilitar según tu requerimiento en dicho fichero pueden modificar los colores o implementar tags personalizados

Habilitar Snippet CSS

Conteo de Hallazgos

El conteo general de hallazgos como tambien por cada tipo de criticidad fue realizado con el plugin Obsidian Query Languaje el cual permite realizar este proceso determinando los datos que deseamos obtener.

En el lado izquierdo se encuentra la visualización y el derecho el código, ire viendo en próximas actualizaciones cambios sobre este plugin que pueda ser explotado.

Realización de Mapas Mentales

Este plugin ya se encontraba desde la primera versión del template que compartimos, no realice la descripción repetida por que me olvide a continuación veremos el uso del plugin Obsidian Mind Map.

La ventaja que tiene este plugin es que el mismo contenido Markdown que tengamos en una nota es utilizado para generar el mapa mental por ejemplo utilizamos el siguiente contenido.

# Vulnerabilidades
## Web
### www.sniferl4bs.com
	- Enumeración de usuarios. 
	- XSS Cross Site Scripting
### www.obsidian.sniferl4bs.com
	- Enumeración de usuarios.
	- Extracción de números de telefono 

## Mobile
- Ausencia de controles
	- Root
	- Jailbreak
	- Certificate Pinning
- Lectura de datos arbitrario. 
- Extracción de información sensible en dispositivo.

Al presionar Crtl + P y buscamos MindMap tendremos el diagrama realizado en la parte inferior de la nota como se muestra a continuación.

Mapa Mental

Actualmente estoy viendo el de cambiar este plugin por otro, pero aún no me encuentro del todo seguro en la parte final del post se tiene una breve descripción de mejoras o cambios que tengo pensado realizar.

DEMO TIME! Ejemplos de registro y visualización de datos.

Realice este Gif como un pequeño demo de como se realiza el registro de un nuevo hallazgo y la actualización automática de la tabla.

Todo / Features

Los próximos cambios que tengo en mente a realizar, mejorar o cambiar son los siguientes:

  • Registro de nueva vulnerabilidad de manera dinámica.
  • Tags con colores diferentes según nivel de criticidad.
  • Actualización de Datos INLINE con Dataview.
  • Resumen total de hallazgos.
    • Cantidad total por categoria
  • Generar gráficos dinámicos en base a los resultados de reportes.
  • Generar un informe, reporte en documento Word o PDF desde el mismo Obsidian. (En proceso aún no se cuenta con una versión estable.)
  • Revisar el plugin Enhancing Mindmap
  • Considerar la adición de Excalidraw.

Plugins a prueba

Podrán ver el detalle de los comandos y adición del gráfico en la entrada Usando Obsidian como herramienta para crear notas en procesos de Pentesting, en el mismo describo el resto de las funcionalidades que en esta entrada no se encuentran descritas si deseas conocer más detalle ve por ella.

Repositorio en Github

  • Te gustaría que comparta el VAULT Template para el registro y seguimiendo de Bug Bounty?
  • Quisieras que se adicione otro plugin, o funcionalidad avisanos!
  • Comenta en el blog! por Twitter o el canal y grupo en Telegram tus sugerencias y si compartimos el Vault de Seguimiento de Bug Bounty.
«No soy lo que me ha pasado. Soy lo que decido ser..» - Carl Gustav Jung.

Regards,
Snifer

Share on
Support the author with
Avatar
WRITTEN BY
Snifer
Creador del proyecto Snifer@L4b's. Consultor en Seguridad Informática.

See Also