Habilidades pentest-checklist
🛡️

pentest-checklist

Seguro

Planificar Pruebas de Penetración Profesionales

Esta skill proporciona un marco integral para planificar y ejecutar pruebas de penetración, asegurando la autorización adecuada, el alcance y el seguimiento de la remediación para evaluaciones de seguridad efectivas.

Soporta: Claude Codex Code(CC)
⚠️ 65 Deficiente
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Pruébalo

Usando "pentest-checklist". ¿Cuáles son las fases clave de una prueba de penetración?

Resultado esperado:

Un pentest típicamente sigue cinco fases: 1) Definición del Alcance (objetivos, amenazas, límites), 2) Preparación del Entorno (configuración del entorno de prueba, escaneo base), 3) Selección de Expertise (selección de proveedores, definición de metodología), 4) Monitoreo (monitoreo de seguridad, configuración de registros), 5) Remediación (análisis de hallazgos, verificación de correcciones).

Usando "pentest-checklist". ¿Qué debe incluirse en un documento de alcance del pentest?

Resultado esperado:

Un documento de alcance del pentest debe incluir: sistemas objetivo (IPs, dominios, aplicaciones), elementos fuera del alcance, técnicas de prueba permitidas, cronograma y programación, credenciales de acceso proporcionadas, contactos de emergencia, confirmación de autorización legal y requisitos de cumplimiento.

Usando "pentest-checklist". ¿Cómo evalúo proveedores de pruebas de penetración?

Resultado esperado:

Evalúe proveedores verificando: certificaciones (OSCP, GPEN, CEH, CREST), revisando informes de muestra para calidad y detalle, verificando experiencia con organizaciones similares, confirmando alineación de metodología (OWASP, PTES), evaluando procesos de comunicación y verificando referencias de clientes similares.

Auditoría de seguridad

Seguro
v1 • 2/24/2026

This skill is a documentation/guide for planning legitimate penetration tests. The static analyzer flagged example commands (nmap, nikto, tcpdump), tool references, and cloud provider documentation links. All flagged items are legitimate security testing educational content shown in markdown code blocks - they are not executable code. The skill emphasizes authorization, legal compliance, and proper scoping. All 31 static findings are FALSE POSITIVES.

1
Archivos escaneados
340
Líneas analizadas
4
hallazgos
1
Auditorías totales

Problemas de riesgo alto (4)

SKILL.md:109-115SKILL.md:197-204SKILL.md:321-322
Static Analyzer Flag: Example Security Tools Referenced
Example commands in code blocks (nmap, nikto, tcpdump, sudo) are LEGITIMATE security testing tools shown for educational purposes in markdown documentation. These are not executable by the skill - they are example references for users to understand pentest methodology.
SKILL.md:130-132
Static Analyzer Flag: Hardcoded URLs to Cloud Provider Docs
URLs to AWS, Azure, GCP security documentation are legitimate reference links for penetration testing policies.
SKILL.md:68SKILL.md:138SKILL.md:217SKILL.md:248-255SKILL.md:300
Static Analyzer Flag: System/Network Reconnaissance Keywords
Mentions of reconnaissance, scanning tools, and testing techniques are part of legitimate security education - explaining what pentesters test FOR, not how to attack without authorization.
SKILL.md:254
Static Analyzer Flag: Malware Type Keywords
Mentions of 'backdoors' appear in the cleanup procedure section - instructing users to REMOVE test artifacts, not create them.
Auditado por: claude

Puntuación de calidad

38
Arquitectura
100
Mantenibilidad
85
Contenido
32
Comunidad
65
Seguridad
91
Cumplimiento de la especificación

Lo que puedes crear

Primera Evaluación de Seguridad

Un gerente de seguridad que planifica la primera prueba de penetración externa de su organización usa esta skill para entender el alcance, presupuesto y criterios de selección de proveedores.

Planificación Anual de Pentest

Un director de TI programa pruebas de penetración recurrentes y usa la skill para asegurar la autorización adecuada, preparación del entorno y seguimiento de remediación.

Coordinación de Ejercicios de Red Team

Un líder de red team usa la skill para coordinar ejercicios completos de simulación de adversarios, incluyendo definición del alcance, reglas de engagement y limpieza posterior al ejercicio.

Prueba estos prompts

Planificación Básica de Pentest 
Ayúdame a planificar una prueba de penetración para la aplicación web de mi empresa. ¿Cuáles son las fases clave que debo seguir?
Definir Alcance del Pentest 
¿Qué debo incluir en el documento de alcance para un pentest de aplicación web? ¿Qué sistemas están típicamente dentro y fuera del alcance?
Seleccionar Tipo de Prueba 
¿Cuál es la diferencia entre las pruebas de penetración black box, gray box y white box? ¿Cuál debería elegir para mi evaluación de red externa?
Planificación de Remediación 
Después de recibir los resultados del pentest, ¿cómo debo priorizar y hacer seguimiento de la remediación de los hallazgos?

Mejores prácticas

  • Siempre obtener autorización legal por escrito antes de realizar pruebas
  • Definir límites claros del alcance y documentar exclusiones
  • Programar pruebas durante períodos de bajo tráfico
  • Asegurar registro y monitoreo exhaustivos durante las pruebas
  • Planificar tiempo de remediación y pruebas de verificación después de los resultados

Evitar

  • Probar en producción sin salvaguardas adecuadas
  • Omitir la fase de documentación de autorización
  • Permitir alcance de pruebas ilimitado sin límites
  • Ignorar hallazgos que parecen de baja severidad
  • No programar pruebas de verificación de seguimiento

Preguntas frecuentes

¿Es esta skill un reemplazo para probadores de penetración profesionales?
No. Esta skill proporciona orientación de planificación y listas de verificación. Probadores de penetración profesionales con certificaciones adecuadas (OSCP, GPEN) deben ejecutar las pruebas reales.
¿Qué tipos de pruebas de penetración puedo planificar con esta skill?
Puede planificar pruebas de penetración de red externa, pruebas de red interna, pruebas de aplicaciones web, evaluaciones de ingeniería social y ejercicios de red team.
¿Con qué frecuencia debo realizar pruebas de penetración?
Las pruebas anuales son el mínimo para la mayoría de las organizaciones. Entornos de alto riesgo, cambios frecuentes o requisitos regulatorios (PCI-DSS) pueden requerir pruebas trimestrales o continuas.
¿Qué marcos de cumplimiento aborda esta skill?
La skill hace referencia a los requisitos de cumplimiento de GDPR, PCI-DSS y HIPAA para pruebas de seguridad.
¿Puedo usar esta skill para programas de bug bounty?
Sí, la skill menciona los programas de bug bounty como alternativa o complemento a las pruebas de penetración tradicionales para la evaluación continua de seguridad.
¿Qué debo hacer con los hallazgos del pentest?
Priorice los hallazgos por severidad de riesgo, desarrolle planes de remediación, implemente correcciones y programe pruebas de verificación para confirmar que las vulnerabilidades están resueltas.

Detalles del desarrollador

Autor

sickn33

Licencia

MIT

Repositorio

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/pentest-checklist

Ref.

main

Estructura de archivos

📄 SKILL.md