Web Application Penetration Testing es uno de los servicios de seguridad de aplicaciones (Application Security Assessment) sugeridos por ISGroup.
Las aplicaciones web son hoy en día predominantes y cada vez más sofisticadas y críticas para los negocios en línea.
Analizamos todos los componentes críticos de un portal web, una aplicación de E-Commerce o cualquier otra plataforma web.
Utilizando técnicas manuales y cientos de herramientas específicas, el tester es capaz de identificar problemas evidentes y ocultos.
Al igual que las aplicaciones cliente/servidor, las aplicaciones web generalmente sufren de un manejo inadecuado de las peticiones del cliente gracias a la débil validación y controles implementados durante el desarrollo.
Debido a su propia naturaleza, las aplicaciones web están completamente expuestas y accesibles. El enfoque de "seguridad a través de la oscuridad" es imposible y un código de aplicación resistente es primordial.
Además, las aplicaciones web procesan datos de peticiones HTTP, un protocolo que permite una miríada de codificaciones y diferentes encapsulaciones.
Un Web Application Penetration Test es la simulación de un atacante contra un sitio, portal o aplicación web. Inicialmente la prueba consiste en identificar todos los recursos expuestos en el objetivo.
Al mismo tiempo, el auditor realizará un análisis de la lógica empresarial para verificar que no hay problemas conceptuales que afecten a la seguridad.
En este punto, antes de probar la aplicación web real, se comprueba la infraestructura para buscar vulnerabilidades conocidas y desconocidas.
Una vez que se detectan algunos puntos de ataque válidos (puntos de entrada) podemos proceder al intento de hackeo propiamente dicho. El objetivo es una puesta en peligro extensa, tan profunda y vasta como sea posible.
Después, tanto manualmente como con la ayuda de herramientas, se prueba cada parámetro con vectores de ataque definidos. También se ejecutarán técnicas de ataque genéricas para la plataforma dada.
Si se obtiene algún tipo de acceso, realizaremos acciones normalmente no autorizadas e inesperadas, pero todavía inofensivas para el sistema y la aplicación. Esto es con el fin de crear una evidencia de explotabilidad. Una acción podría ser volcar datos de una base de datos backend o acceder a archivos y fuentes del disco. Con la debida autorización se puede ampliar el alcance de la prueba y modificar la información u obtener el control total de la máquina y las adyacentes.
El Report es un documento sencillo y detallado que resume los resultados de la actividad y se divide en tres áreas diferentes, como se ha descrito anteriormente:
Executive Summary
Se coloca al principio del Report y no tiene más de una página. Consiste en una visión general no técnica, destinada al Management.
Vulnerability Details
Consiste en una parte técnica que describe en detalle las vulnerabilidades descubiertas y su impacto. Está dedicado al Security Manager.
Remediation Plan
Una sección técnica con instrucciones detalladas y precisas sobre cómo resolver los problemas identificados. Dedicado a los desarrolladores.
Trabajar con nosotros es muy sencillo, sólo hay que llamar al número (+39) 045 4853232 o enviar un correo electrónico para que podamos conocernos y hablar de tus necesidades de seguridad informática.
Solicita un presupuesto para