Hoy en día, la mayoría de las aplicaciones y servicios web son potencialmente susceptibles a un conjunto común de ataques independientemente de la plataforma y/o la tecnología utilizada. Este tipo de ataques puede conllevar grandes pérdidas económicas sobre la empresa afectada, y por consiguiente una mala imagen hacia nuevas captaciones de clientes o asociados.
El departamento de seguridad web de Informática64 gracias a una larga trayectoria de experiencia en auditorías de seguridad, ha elaborado una batería de pruebas de vulnerabilidades web respaldadas por la metodología OWASP, que permite identificar que vulnerabilidades contiene la aplicación o el servicio web, haciendo uso de las técnicas o ataques más novedosos.
Dichos ataques son posibles debido a la presencia de vulnerabilidades, con las particularidades propias de cada sistema operativo y lenguaje. Dichas vulnerabilidades tienen su origen en defectos de diseño de la aplicación, en la programación descuidada de las rutinas, en la pobre implantación de las medidas de control de acceso o en la falta de validación y saneamiento de los datos de entrada. Una causa común de agujeros de seguridad reside en la deficiente configuración del servidor web y del sistema operativo subyacente, lo que se suele denominar bastionado de la plataforma de explotación.
Las herramientas de auditoría automáticas no pueden detectar la totalidad de las vulnerabilidades que contiene una aplicación web, así como tampoco son capaces de evadir sistemas de seguridad que hayan podido ser implementados por un desarrollador o administrador de sistemas, por lo que dicha carencia puede ser aprovechada por un usuario malintencionado para explotar vulnerabilidades críticas tales como Cross-Site Scripting (XSS), inyecciones SQL, inyecciones de código, etcétera. El departamento de seguridad web de Informática64 complementa con dichas herramientas un trabajo de auditoría de seguridad revisando manualmente cada uno de los distintos puntos que pueden contener vulnerabilidades intentando descubrir cualquier tipo de fallo en la implementación del portal.
Como complemento de la metodología reseñada, Informática 64 desarrolla herramientas artesanas adaptadas a la medida de las características de la aplicación web auditada para probar nuevos ataques no soportados por ninguna otra herramienta.
Una vez terminadas las pruebas, Informática 64 elabora un informe de auditoría que recoge las vulnerabilidades encontradas, así como las recomendaciones sobre las soluciones a implantar.
|