Gungnir - Offensive Security Manager - AllSafe Security Solutions

Offensive Security Manager – AllSafe

El engagement de pentesting termina con un informe. La calidad del informe depende de cómo lo gestionaste desde el primer día.

Terminaste el engagement. Tenés hallazgos en tres archivos de texto distintos, screenshots en una carpeta sin nombres, CVSSs calculados a mano en una planilla y la evidencia de explotación en algún screenshot que ya no encontrás.
Ahora tenés que escribir el informe.
Gungnir nació para que eso no vuelva a pasar. Una plataforma que acompaña cada fase del engagement desde el primer contacto con el cliente hasta el PDF entregado – con todas las herramientas que un equipo ofensivo profesional necesita, sin que tengas que salir de ella para nada.

Solicitar acceso
Ver capacidades

6
fases estructuradas – Planificación · Recon · Escaneo · Explotación · Post-Exp · Reporte

2.300+
comandos de pentesting buscables en el arsenal, dentro de la misma plataforma

0
herramientas externas necesarias para armar el informe final

El workflow

Cada fase del engagement donde tiene que estar. Nada fuera de contexto.

Gungnir no es una lista de tareas con un editor de texto. Es un sistema que modela exactamente cómo trabaja un equipo ofensivo – con la estructura necesaria para que el trabajo técnico se convierta en un informe profesional sin fricción.

Planificación

Assets en scope y out-of-scope con anotaciones, objetivos del engagement y reglas de operación. El acuerdo con el cliente documentado antes de que empiece cualquier actividad técnica.

Reconocimiento

Shodan, VirusTotal, Censys, crt.sh, RDAP y DNS integrados directamente en el engagement. Tus propias API keys – sin vendor lock-in, sin que tus queries pasen por infraestructura de terceros.

Escaneo

Importás el .nessus, el XML de Burp, el de OpenVAS o el -oX de Nmap y los hallazgos entran estructurados directamente en el engagement. Sin copiar y pegar. Sin perder severidad en la traducción.

Explotación

Operation logs con timestamp – objetivo, herramienta, comando exacto, notas. Cuando el cliente pregunta qué se hizo y cuándo, el registro está ahí, completo, sin reconstruir nada de memoria.

Post-Explotación

Evidencias cargadas directamente en el engagement. Mapeo MITRE ATT&CK a nivel de técnica y táctica. El camino de ataque documentado mientras se ejecuta, no reconstruido al final.

Reporte

El PDF se genera desde los hallazgos ya documentados. Sección ejecutiva y técnica. Logo del operador. El informe que antes tomaba un día de formateo en Word, ahora tarda minutos.

Capacidades

Todo lo que necesita un equipo ofensivo profesional. En un solo lugar.

Cada módulo de Gungnir existe porque alguien lo necesitó en un engagement real. No features de catálogo – herramientas reales para trabajo ofensivo real.

Editor de hallazgos con CVSS 3.1 y 4.0 visual

Ingresás el hallazgo y la calculadora CVSS 3.1 y 4.0 es interactiva – seleccionás AV, AC, PR, UI, Scope, C, I y A desde botones y el score se actualiza en tiempo real. Sin fórmulas, sin hojas de cálculo, sin errores de cálculo que el cliente detecte en la revisión. Cada hallazgo incluye además mapeo CWE, OWASP Top 10, táctica y técnica MITRE, activo afectado, descripción técnica, pasos para reproducir y resumen ejecutivo.

CVSS 3.1 y 4.0 visual · CWE · OWASP · MITRE ATT&CK · Severidad · Estado

CVE auto-populate desde NVD

Encontraste una vulnerabilidad conocida. Ingresás el CVE ID y Gungnir consulta la API de NVD en el momento – completa el vector CVSS, el score, la descripción oficial y el CWE automáticamente. Sin buscar en nvd.nist.gov, sin copiar el vector a mano, sin riesgo de transcribir mal un componente. Para los findings que tienen CVE, el tiempo de documentación baja de minutos a segundos.

NVD API · CVSS automático · CWE automático · Descripción oficial

Import XML de scanners

El resultado del Nessus, del Burp, del OpenVAS o del Nmap entra en el engagement con un upload. Gungnir parsea el XML, mapea la severidad al esquema propio y crea los hallazgos estructurados. Lo que antes era abrir el reporte del scanner en paralelo y copiar cada finding a mano ahora es un drag and drop. Directo en la fase del engagement que corresponde.

Nessus .nessus · Burp Suite XML · OpenVAS XML · Nmap -oX XML

Arsenal de 2.300+ comandos

Buscás “kerberoasting” y aparecen los comandos de Impacket, Rubeus y PowerView con las flags correctas. Buscás “subdomain” y tenés gobuster, ffuf, amass y dnsrecon. Categorizados en Recon, Web, Network, Active Directory, Post-Explotación, Evasión y más – con búsqueda full-text sobre nombre, descripción y comando. Sin salir de la plataforma, sin buscar en cheatsheets dispersos.

2.300+ comandos · Recon · Web · AD · Post-Exp · Evasión · Búsqueda full-text

Templates de hallazgos

15 templates preconfigurados para los findings más frecuentes: SQLi, XSS, CSRF, SSRF, XXE, RCE, Path Traversal, Open Redirect, credenciales por defecto y más. Cargás el template, ajustás los detalles del engagement específico y tenés el hallazgo documentado profesionalmente en segundos. Más tu propia biblioteca personalizada para los que repetís en cada engagement.

15 templates built-in · SQLi · XSS · CSRF · SSRF · XXE · RCE · Biblioteca custom

OSINT / Recon integrado

Shodan para inteligencia de IPs, puertos abiertos y CVEs. VirusTotal para reputación de dominios e IPs. Censys para certificados e infraestructura. crt.sh para enumerar subdominios por certificate transparency. RDAP para registros de dominio y datos del titular. DNS para resolución de registros A, MX, NS, TXT y CNAME. Todo directamente en la fase de Reconocimiento del engagement, con tus propias API keys – sin vendor lock-in.

Shodan · VirusTotal · Censys · crt.sh · RDAP · DNS A/MX/NS/TXT

Reporte PDF profesional

El PDF se genera desde los hallazgos ya cargados en el engagement. Sección ejecutiva con resumen de riesgos y estadísticas. Sección técnica con cada hallazgo detallado – severidad, CVSS, descripción, pasos para reproducir y recomendaciones. Logo del operador cargable desde el perfil. El informe que define cómo el cliente percibe tu trabajo, generado desde los datos que ya documentaste durante el engagement.

PDF profesional · Sección ejecutiva · Sección técnica · Logo por operador

Notas, scripts y writeups

Notas personales en Markdown con tags, pin y visor con renderizado completo – compartibles con otros miembros del equipo y vinculables a un engagement específico. Gestor de scripts propios para los que usás en cada engagement. Biblioteca de writeups de vulnerabilidades para referencia y documentación interna. Todo el conocimiento del equipo en un lugar, accesible mientras trabajás.

Markdown · Tags · Compartir · Scripts propios · Writeups · Vinculables a engagement

Exportar e importar engagements

Cualquier engagement se exporta como un ZIP portátil con un solo clic: hallazgos, fases, operation logs, scope y archivos de evidencia, todo incluido. Importarlo en otra instancia recrea todo automáticamente con nuevos IDs. Sin bases de datos compartidas, sin configuración especial. El mismo formato es compatible con Gungnir Community y se usa para compartir walkthroughs CTF y templates metodológicos en el repositorio público de la comunidad.

Export ZIP · Import ZIP · Cross-instance · Community engagements · CTF walkthroughs

La plataforma en acción

Esto no es un demo. Es Gungnir funcionando en un engagement real.

Cada screenshot muestra el sistema tal como lo usa AllSafe en sus propios proyectos ofensivos.

Panel de Control
Vista unificada de engagements activos, hallazgos por severidad y actividad del equipo en tiempo real.

Editor de hallazgos · CVSS 3.1 y 4.0 visual
La calculadora actualiza el score en tiempo real al seleccionar cada vector – sin fórmulas, sin errores de transcripción.

Arsenal de comandos
2.300+ comandos categorizados con las flags exactas – búsqueda por herramienta, técnica o texto libre sin salir de la plataforma.

El informe no se escribe cuando termina el engagement. Con Gungnir, ya está documentado mientras se trabaja.

Generador de reportes PDF
Seleccionás el engagement y la plantilla – el informe ejecutivo y técnico se genera desde los hallazgos ya documentados.

Técnicas MITRE ATT&CK
Cada técnica con herramientas comunes, detección y mitigación – vinculable directamente al engagement activo.

Scripts ofensivos
Biblioteca etiquetada con CVE y técnica MITRE, descargable y organizada por categoría – el conocimiento del equipo en un lugar.

Cada módulo existe porque alguien lo necesitó en un engagement real. No hay features de catálogo.

Plataforma completa

Investigación, Recon y Notas — todo dentro de Gungnir

Tres módulos que cierran el ciclo ofensivo sin salir de la plataforma.

Research Papers · Exploit-DB
Browser integrado de papers de investigación – buscá por EDB ID, autor o descripción y descargá el PDF directamente dentro de la plataforma.

Recon / OSINT integrado
Shodan, VirusTotal, Censys, crt.sh, RDAP y DNS en un solo lugar – con tus propias API keys, sin vendor lock-in. Los resultados se importan directo al engagement.

Notas compartibles
Notas personales en Markdown con tags, pin y compartir entre usuarios del equipo – vinculables a un engagement activo.

El ecosistema completo: desde el primer scan hasta el informe firmado, sin salir de la plataforma.

Open Source · MIT License

Gungnir Community Edition: el sistema completo, sin costo, para siempre.

La misma plataforma que AllSafe usa en sus engagements, disponible como software libre. Sin límites de engagements, sin registro, sin suscripción. Instalás en tu propio servidor y es tuyo.

Lifecycle completo, editor CVSS 3.1 y 4.0, import XML, arsenal de 2.300+ comandos, OSINT con tus propias API keys, 15 templates built-in, notas compartibles y reporte PDF – incluido en la Community Edition.

✓ Ciclo de vida completo del engagement

✓ Editor CVSS 3.1 y 4.0 visual + CWE + OWASP + MITRE

✓ Import XML: Nessus, Burp Suite, OpenVAS, Nmap

✓ Arsenal 2.300+ comandos buscables

✓ OSINT: Shodan, VirusTotal, Censys, crt.sh, DNS

✓ 15 templates de hallazgos + biblioteca custom

✓ Browser de papers Exploit-DB (con descarga PDF)

✓ Reporte PDF profesional

✓ JWT + TOTP 2FA + roles RBAC

✓ Exportar e importar engagements (ZIP)

✓ Repositorio de engagements community

Ver en GitHub →

Por qué Gungnir

Un pentester que no gestiona bien sus engagements entrega informes que no reflejan la calidad de su trabajo técnico.

El trabajo ofensivo más riguroso pierde valor cuando el informe es una colección de notas improvisadas. Gungnir cierra esa brecha entre la calidad técnica y la calidad del entregable.

El informe sale de los datos

Todo lo que documentaste durante el engagement – hallazgos, evidencias, CVSSs, mapeos MITRE – es exactamente lo que aparece en el PDF final. Sin reformatear, sin recordar qué pasó en la fase de explotación.

Trazabilidad que el cliente puede auditar

Cada comando ejecutado, cada hallazgo cargado y cada evidencia subida queda vinculado a su fase, su timestamp y su operador. Cuando el cliente pregunta cómo se obtuvo acceso, la respuesta está en el sistema.

El arsenal donde lo necesitás

No salís de la plataforma para buscar el comando de kerberoasting, el payload de SSRF o el template de SQLi. El conocimiento técnico del equipo está dentro de la misma herramienta que gestiona el engagement.

Construido por un equipo ofensivo

Gungnir no es un gestor de proyectos adaptado al pentesting. Es una plataforma diseñada desde el primer commit para cubrir el workflow exacto de un equipo ofensivo profesional. AllSafe lo usa en sus propios engagements.

Querés Gungnir en tu próximo engagement

La Community Edition está en GitHub – self-hosted, sin registro, MIT License. Si necesitás Gungnir Pro con feeds en vivo de Nessus y OpenVAS, sincronización con el CRM AllSafe y el dashboard de Operaciones ejecutivo, contactanos.

Open Source

¿Sabías que existe Gungnir Community?

Versión gratuita y open source (AGPL-3.0) con el flujo completo de un engagement: clientes, scope, hallazgos con CVSS, reportes PDF, arsenal y reconocimiento. Para equipos de seguridad, consultores y la comunidad CTF.

Explorar Gungnir Community →