Gungnir Community
El gestor de pentesting que construimos para nuestros propios engagements. Ahora es tuyo.
ᚷ Por qué se llama Gungnir
Gungnir es la lanza de Odín. No fue forjada en cualquier fragua – la crearon los Hijos de Ívaldi, los artesanos más extraordinarios de todos los mundos, los mismos que construyeron el barco Skidbladnir y el cabello de oro de Sif. Inscribieron runas de poder a lo largo de su asta. Nadie podía deflectar su trayectoria. Una vez arrojada, encontraba su objetivo sin excepción y volvía sola a la mano de Odín.
Antes de la primera gran guerra entre los dioses, Odín arrojó Gungnir sobre el campo de batalla. Ese gesto fundacional marcó el inicio de todos los conflictos que siguieron. La lanza que abre el camino, que revela lo que estaba oculto.
Un pentesters hace exactamente eso: lanza la prueba sobre el sistema con precisión y metodología, encuentra lo que estaba escondido, y vuelve con el resultado. Gungnir nunca falla el blanco.
“Ninguna armadura puede resistir a Gungnir. Quien la porta nunca yerra.”
– Edda Prosaica, Snorri Sturluson
El pentesting gana cuando las herramientas son transparentes
Metodología abierta
La forma en que estructuramos un engagement, categorizamos hallazgos y generamos reportes no es un secreto comercial – es conocimiento que el gremio entero puede mejorar. Gungnir Community es nuestra contribución a esa conversación.
Aprendizaje real
La comunidad CTF y los estudiantes de seguridad ofensiva necesitan herramientas profesionales para practicar con el flujo real de un engagement. No simulaciones – el mismo gestor que usa un pentester profesional en producción.
Solo para uso autorizado
Gungnir es una herramienta para profesionales que trabajan con autorización explícita. Open source no significa sin responsabilidad – significa que el código es visible y auditable para todos, incluyendo quienes deben verificar que se usa correctamente.
El ciclo completo de un engagement de seguridad ofensiva
Desde el primer contacto con el cliente hasta el reporte final entregado. Todo el flujo de trabajo de un pentester profesional, sin costo.
Clientes y engagements
Gestioná cada cliente y cada proyecto de forma separada. Cada engagement tiene su propio scope, sus fases y su línea de tiempo. Nada mezclado, todo trazable.
Scope y fases
Definí el alcance con precisión: IPs, rangos, dominios, aplicaciones. Organizá el engagement en fases personalizadas. El scope es ley – lo que no está incluido, no se toca.
Hallazgos con CVSS 3.1 y 4.0
Documentá cada vulnerabilidad con CVSS 3.1 y 4.0, clasificación MITRE ATT&CK, CWE y OWASP. Con evidencias, pasos de reproducción y recomendaciones de remediación. El estándar que los clientes esperan.
Reportes PDF automáticos
Un clic y el reporte ejecutivo y técnico están listos. Profesional, estructurado, con todos los hallazgos clasificados por severidad. El tipo de entregable que hace que el cliente entienda qué pasó y qué hacer.
Arsenal y técnicas
Más de 2.300 comandos de pentesting categorizados y buscables – OWASP ZAP, Burp Suite, nmap, tshark, searchsploit, smbmap, wes-ng, técnicas Windows y mucho más. Scripts propios, técnicas MITRE y biblioteca de referencia. Lo que aprendiste en un proyecto, disponible en el siguiente.
OSINT y reconocimiento
Módulo de recon integrado: subdominios, tecnologías, exposición de superficie de ataque. El punto de partida de cualquier engagement serio.
Exportar e importar engagements
Cualquier engagement se exporta como un ZIP portátil con un clic: hallazgos, fases, operation logs, scope y evidencias, todo incluido. Importalo en otra instancia y está listo para usar. Sin bases de datos compartidas, sin configuración especial.
Engagements compartidos por la comunidad
El repositorio de community-engagements en GitHub es el lugar donde la comunidad Gungnir comparte y descarga engagements reales: walkthroughs de CTF, escenarios de entrenamiento y templates metodológicos.
Explorá el repositorio, descargá el ZIP que te interese.
Andá a Engagements → Importar, seleccioná el ZIP. El sistema recrea todo automáticamente.
Exportá cualquier engagement desde el sidebar → revisá que no tenga datos sensibles → abrí un Pull Request.
Practicá con las herramientas del mundo real
Resolver CTFs desarrolla habilidades técnicas excepcionales. Pero el mundo profesional requiere algo más: estructura, documentación, trazabilidad, reportes. Gungnir Community te da el entorno para practicar el flujo completo de un engagement real – no solo la explotación, sino todo lo que viene antes y después.
El repositorio de engagements community ya tiene el walkthrough completo de RickdiculouslyEasy (VulnHub): 9 hallazgos documentados con CVSS, 22 entradas en el operation log, scope definido y todas las fases completas. Importalo con un clic y ves exactamente cómo se estructura un engagement real.
El flujo completo en pantallas
Desde el scope hasta el reporte final, tal como lo usamos en engagements reales.
Todos los engagements activos, métricas de hallazgos por severidad y estado del pipeline en un vistazo.
CVSS 3.1 y 4.0, clasificación MITRE ATT&CK, CWE y OWASP. Con evidencias y pasos de reproducción.
Ejecutivo y técnico en un clic. Todos los hallazgos clasificados por severidad, listos para entregar al cliente.
Nuestro compromiso
Gungnir Community seguirá siendo gratuito y open source para siempre. Lo construimos porque necesitábamos una herramienta así y no encontramos ninguna que tuviera el flujo completo sin ser un producto comercial cerrado. Si vos también la necesitabas, bienvenido. Si encontrás algo para mejorar, los pull requests son bienvenidos.
¿Trabajás en una consultora o equipo de seguridad?
Gungnir Pro agrega sincronización con AllSafe CRM para gestión comercial del pipeline, integración con Nessus y OpenVAS para importar hallazgos automáticamente, browser de papers de investigación Exploit-DB con descarga directa de PDFs, dashboard de operaciones con métricas ejecutivas y soporte dedicado de AllSafe.