Todas las aplicaciones y servicios web resultan potencialmente susceptibles a un conjunto común de ataques que son independientes de la plataforma y tecnología subyacentes. Nuestra metodología de pruebas de seguridad identifica cuáles son estas categorías comunes de ataque, así como las técnicas particulares de ataque dentro de cada categoría. El ataque con éxito a una aplicación web se basa normalmente en la combinación o encadenamiento de varias de estas técnicas individuales, con ligeras modificaciones entre distintas plataformas, servidores y lenguajes.
Estos ataques son posibles debido a la presencia de vulnerabilidades comunes, con las particularidades propias de cada sistema operativo y lenguaje. Dichas vulnerabilidades tienen su origen en defectos en el diseño de la aplicación, en la programación descuidada de las rutinas, en la pobre implantación de las medidas de control de acceso o en la falta de validación y saneamiento de los datos de entrada. Una causa común de agujeros de seguridad reside en la deficiente configuración del servidor web y del sistema operativo subyacente, lo que se suele denominar bastionado de la plataforma de explotación.
Las herramientas de auditoria automática no pueden detectar cuando un programador ha desarrollado, cayendo en un fallo conocido de diseño, como XSS, desbordamientos de buffer o inyección de código. Esos fallos de seguridad son detectables en producción realizando las pruebas necesarias en cada uno de los componentes, servicios o programas que están funcionando.
Como complemento de la metodología reseñada, Informática 64 desarrolla herramientas artesanas adaptadas a la medida de las características de la aplicación web auditada para probar nuevos ataques no soportados por ninguna otra herramienta.
Una vez terminadas las pruebas, Informática 64 elabora un informe de auditoría que recoge las vulnerabilidades encontradas, así como las recomendaciones sobre las soluciones a implantar.
|