Noticias > Artículos de opinión

Pruebas de Seguridad en Entornos Web

13 Diciembre, 2015

Por Jose Manuel López Torets, Consultor Senior Ingeniería y Calidad del Software MTP

La solución de pruebas de seguridad en entornos web de MTP permite identificar los 5 riesgos más críticos en las aplicaciones web de acuerdo al Top 10 publicado por la comunidad OWASP, siendo aplicable tanto a productos finalizados como a aquellos en etapas tempranas del desarrollo y respaldada por una metodología y unos criterios aceptados internacionalmente.

Con esta nueva solución, MTP pone a disposición de sus clientes un equipo de profesionales especializado en este tipo de pruebas y con experiencia en el uso de las principales herramientas de testeo de vulnerabilidades del mercado, lo que le permite trabajar de forma eficaz y eficiente en la ejecución de esta tipología de pruebas.

Aplicando las pruebas Top 5, cualquier organización podrá alcanzar importantes beneficios, entre los que destacan:

  • Mejorar el nivel de seguridad de sus aplicaciones mediante las pruebas realizadas por una organización independiente, imparcial y objetiva.
  • Reseñar las situaciones de riesgo más comunes e identificar puntos débiles en los aplicativos.
  • Proteger los activos, la información y clientes.
  • Preservar la buena imagen de la compañía.
  • Evitar el incumplimiento de requisitos legales.
  • Reducir la probabilidad de materialización de aquellos riesgos que pueden representar grandes pérdidas de capital:                                                                                                                     
    • Facturación fallida.
    • Compensación por los daños causados.
    • Pérdida de negocio.
    • Reclamación de clientes.
    • Restitución de la imagen corporativa.
    • Sanciones legales.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                

Alcance de la Solución:

La solución Top 5 define un conjunto acotado de pruebas de Hacking Ético encaminadas a identificar los 5 riesgos más críticos que afectan a los entornos web, determina las amenazas, denuncia las vulnerabilidades descubiertas y aporta las recomendaciones para la mitigar los defectos encontrados. Vulnerabilidades que se analizan en el paquete Top 5:

  • A1 – Injection: Los fallos de inyección ocurren cuando datos no confiables son enviados a un intérprete como parte de un comando o consulta. La información enviada por el atacante pueden engañar al intérprete, ejecutar comandos no intencionados o acceder datos no autorizados. Entre los más comunes y peligrosos podemos destacar las denominadas "Inyecciones SQL".
  • A2 - Broken Authentication and Session: Las funciones de la aplicación relacionadas con la autenticación y gestión de sesiones son frecuentemente implementadas de forma incorrecta, permitiendo a los atacantes comprometer contraseñas, token de sesiones, o explotar otros errores de implementación para asumir la identidad de otros usuarios.
  • A3 - Cross-Site Scripting (XSS): La vulnerabildad de XSS ocurre cada vez que una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada. XSS permite a los atacantes ejecutar secuencias de comandos en el navegador de la víctima que pueden secuestrar las sesiones de usuario, destruir sitios web, o dirigir al usuario hacia un sitio malicioso. Por sí sólo, el XSS es históricamente el problema de seguridad más común en aplicaciones web.
  • A4 - Insecure Direct Object References: Ocurre cuando un desarrollador expone una referencia a un objeto interno, tal como un fichero, directorio, o base de datos. Sin un control de acceso exhaustivo, los atacantes pueden manipular estas referencias para acceder datos no autorizados.
  • A5 - Security Misconfiguration: Un buen nivel de seguridad requiere tener definida e implementada una configuración segura en todos los niveles de la aplicación. Estas configuraciones deben ser definidas, implementadas, y mantenidas ya que por lo general no son seguras por defecto (cuentas predeterminadas, configuraciones no recomendadas, etc.).

Del análisis de estas vulnerabilidades se obtiene una visión del estado del sistema, estando en situación de:

  • Valorar el nivel de aseguramiento.
  • Emitir la criticidad de cada incidencia resultante.
  • Denunciar el escenario del ataque.
  • Proporcionar las recomendaciones para la solución.

Si desea ampliar la información sobre la propuesta de Pruebas de Seguridad en Entornos Web, no dude en ponerse en contacto con nosotros.

Compartir