Offensive State Auditoría de Aplicaciones Web

Documentos relacionados
Test de intrusión (Penetration Test) Introducción

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

I INTRODUCCIÓN. 1.1 Objetivos

Curso de desarrollo de Aplicaciones Web Seguras

Misión. En este lugar se disfrutara, de un momento de relajación en nuestro reconocido Spa; donde seguro encontrarán el

Security Health Check

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

VÍDEO intypedia007es LECCIÓN 7: SEGURIDAD EN APLICACIONES WEB. INTRODUCCIÓN A LAS TÉCNICAS DE INYECCIÓN SQL. AUTOR: Chema Alonso

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

Hacking Ético de Sistemas y Redes 4ª Edición 2014 Curso: HESR-01 Nivel: Básico. Ficha técnica

Infraestructura Tecnológica. Sesión 12: Niveles de confiabilidad

Servicios de Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

Capítulo 1. Introducción

Qué son y cómo combatirlas

Tratamiento del Riesgo

MINISTERIO DE GOBERNACIÓN Y POLICÍA AUDITORIA INTERNA OFICIALIZACION Y DIVULGACIÓN CON OFICIO NO

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Cómo mejorar la calidad del software a través de una gestión adecuada de la productividad de las pruebas

Guía de doble autenticación

Control del Stock, aprovisionamiento y distribución a tiendas.

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Los Cuellos de Botella

INSTITUTO TECNOLÓGICO DE COSTA RICA. Caso #09 - Chrysler. Administración de la Función de la Información

El Outsourcing como Opción Estratégica

CAPÍTULO IV METODOLOGÍA PARA EL CONTROL DE INVENTARIOS. En este capítulo se presenta los pasos que se siguieron para la elaboración de un sistema de

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte

Hacking Ético & Seguridad Ofensiva

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

tema 2 1. LA GESTIÓN PRESUPUESTARIA EN FUNCIÓN DE SUS ETAPAS FUNDAMENTALES: PREVISIÓN, PRESUPUESTO Y CONTROL

ANEXO 3. Puntos importantes del contrato de franquicia

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

UNIVERSIDAD DE LA RIOJA

Principios de Privacidad y Confidencialidad de la Información

PERFIL DEL PUESTO POR COMPETENCIAS Sepa cómo construirlo y evitar bajos desempeños posteriores

Módulo 7: Los activos de Seguridad de la Información

AUDITORÍA ADMINISTRATIVA INFORME. 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.


DE INTERNET SOLUCIONES 1A

Tipos de Auditorías y objetivos básicos. Beneficios de las auditorías.

GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:

Análisis de Resultados

Jose Mª Cervera Casanovas

La norma ISO 19011:2011

AUD Estudio de Auditoría Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº JP

AHORRACOM SOLUCIONES AVANZADAS S.L. Avda. de la Industria 13, Oficina Alcobendas, Madrid.

Propuesta de Innovación

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

CAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y

Soporte. Misión y Visión

BYOD - Retos de seguridad

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

Seguridad en Administración de Redes. INTEGRANTES: Santa Elena Rodríguez Calzada María de los Ángeles Ramírez Ortiz Liliana Gpe. Olivares Valdovinos.

2. Aceptar CUALQUIER PROYECTO O NEGOCIO 3- no saber vender

Ministerio de Educación, Cultura y Deporte. Joomla! La web en entornos educativos. Guía del alumnado

DOCUMENTO OFICIAL v1.0 LA VELOCIDAD DEL ADSL EN ESPAÑA ADSLNET

Retorno de inversión (ROI) en proyectos de continuidad de negocio. Alineamiento con el estándar ISO

Requisitos de control de proveedores externos

NORMATIVA ISO Tasador colaborador con con la la justicia

Guía para elaborar un plan estratégico.

API: el control del servicio se realiza a través de múltiples interfaces. Por lo que se sugiere:

POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales

DOSSIER DE SERVICIOS [Diseño Web] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

MANUAL DE EJECUCION DE LA ESTRATEGIA Ibex35 Evolución por Josep Codina

Elementos requeridos para crearlos (ejemplo: el compilador)

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

Base de datos en Excel

CAPÍTULO 2 DEFINICIÓN DEL PROBLEMA

Guía de aprendizaje Marketing aplicado y comunicación

Teléfono: Telefax:


Tema 6 Caso práctico II

Criterio 2: Política y estrategia

Auditoría que agrega valor

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

@jialberola juanignacioalberola.com. Informe auditoría Social Media Situación inicial Versión 0.1a

LAS RATIOS FINANCIERAS

Nota de Información al cliente ISO/IEC Proceso de auditoría

CÓDIGO DE CONDUCTA DE DATOS PERSONALES

PROCEDIMIENTO DE AUDITORÍAS INTERNAS DEL SISTEMA DE GESTIÓN DE CALIDAD

Plataformas virtuales

Educación y capacitación virtual, algo más que una moda

Licencia. Todos los derechos reservados. Este reporte puede ser distribuido libremente pero queda

POLÍTICA DE EJECUCIÓN DE ÓRDENES

D E A C T I V O S D E S O F T W A R E

Consultoría Empresarial

ANEXO : PERFILES. Guía de Comunicación Digital para la Administración General del Estado. ANEXO PERFILES

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos

Encuestas sobre Actuación Docente del Profesorado de las asignaturas de másteres usando Campus Virtual

El Auditor y la organización

Garantía de cumplimiento de los sistemas de información con la normativa actual

Sistemas de Calidad Empresarial

VISIÓN, MISIÓN, VALORES

INFORME Nº GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Transcripción:

Offensive State Auditoría de Aplicaciones Web

Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4 2. Búsqueda de vulnerabilidades conocidas y no conocidas......5 3. Comprometer el objetivo y extender el ataque...5 4. Informe y evaluación...5 Qué aporta Offensive Security en el campo de la seguridad ofensiva?...6

Servicio de auditoría en aplicaciones web Offensive State ofrece auditorías de aplicaciones web con el fin de que los productos, aplicaciones y recursos de los sitios webs de sus clientes tengan un nivel de seguridad lo suficientemente óptimo como para evitar que un fallo de seguridad exponga los datos sensibles de sus equipos, clientes, o cualquier información que pueda estar al alcanza de un atacante. Independientemente del tipo de tecnología con el que se haya desarrollado la aplicación web, Offensive State analizará, evaluará y auditará los sistemas que lo componen, mitigando cualquier vulnerabilidad de seguridad que se pueda encontrar durante todo el proceso del test de intrusión. Por qué? Las cifras hablan por sí solas, partiendo de la base de que Internet y las páginas webs son el medio de comunicación más utilizado en la actualidad. Por ello es normal encontrar también una gran cantidad de ataques dirigidos contra aplicaciones webs. Si hablamos concretamente de cifras el 99% de las aplicaciones webs analizadas contienen algún tipo de vulnerabilidad. Entre las más comunes: XSS Fugas de información Autenticación y Autorización Gestión de sesiones SQL Injection CSRF Estas vulnerabilidades pueden ser utilizadas por un atacante con algún fin concreto dependiendo de distintos factores. Sin embargo, cabe destacar que cuando se produce alguno de estos ataques la empresa final sufra alguno de los siguientes daños y perjuicios: Robo de Información. Phising. Robo de credenciales. Suplantación de identidad. Apropiación del servidor. Etc El uso y fin con que se puede realizar un ataque dependerá de las intereses del propio ciberdelincuente, pudiendo ser desde la apropiación del servidor donde se aloja la web principal para distribuir malware, hasta la extracción de información sensible como puede ser toda la Base de datos para venderla en el mercado negro.

Por estos motivos es necesario estar concienciado con la seguridad informática y prevenir ataques con auditorias regulares en los sistemas y aplicaciones webs. Metodologías Para poder llevar acabo una auditoría con total eficacia se deben seguir una serie de metodologías y estándares. Tanto a nivel interno como a nivel global Offensive State ofrece auditorías de aplicaciones webs basadas en la metodología Testing Guide del proyecto OWASP (Open Web Application Security Project) reconocido a nivel mundial por numerosas empresas de distintos sectores. Además, realizar un test de intrusión web requiere de rigurosas pruebas. Pruebas basadas también en los ataques más comunes y conocidos según otra de las guías del proyecto OWASP, la cual habla del TOP 10 de ataques a nivel de aplicación web: A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards Por otra parte, Offensive State complementa sus auditorías con metodologías propias basadas en la experiencia de sus profesionales. Etapas y pruebas a realizar. Del mismo modo que actúa cualquier atacante en Internet, existen una serie de pasos que deben seguirse de la forma más metódica posible para contar con la información necesaria y llevar a cabo ataques elaborados. En este punto es necesario aplicar la mentalidad de un buen estratega militar, debe recolectar suficiente información y conocer las debilidades propias y las del enemigo con el fin de poder elaborar técnicas de defensa y ataque. En este sentido, las etapas que se siguen en la metodología interna de Offensive State quedan reflejadas en la siguiente imagen. 1. Fingerprint del objetivo. Cuando se trata de realizar una auditoría de aplicación web o test de intrusión web, el primer objetivo de un atacante es realizar un recorrido por todos los recursos de la web con la intención de

obtener la mayor cantidad de información posible. A mayor cantidad información, mayores serán las probabilidades de existo frente a un ataque. Información como la tecnología con la que está desarrollada la web, versiones de las aplicaciones, comentarios de los desarrolladores, información pública, enumeración de usuarios, etc. De esta manera cuando una atacante tenga un mapa global del sitio podrá realizar su ataque de forma mucho más localizada, centrándose sólo en aquellos puntos que pudieran ser vulnerables. Sabiendo como actúa un ciberdelincuente, Offensive State, seguirá estos mismos pasos para detectar cualquier punto débil en la/s aplicaciones auditadas. 2. Búsqueda de vulnerabilidades conocidas y no conocidas. Tras realizar una búsqueda exhaustiva de información, la siguiente etapa a realizar es la búsqueda de vulnerabilidades conocidas y no conocidas en base a la información recolectada en el punto anterior. En qué consiste exactamente? Existen dos tipos de búsqueda de vulnerabilidades, la que ya existen en productos conocidos y las que no. En muchas ocasiones cuando se desarrollan páginas web se utilizan productos de terceros (CMS como Joomla, Wordpress, etc, o plataformas del tipo apache, IIS, etc). Estos productos están en constante revisión por expertos en seguridad los cuales reportan la vulnerabilidad al proveedor, y que posteriormente se da a conocer de forma pública. Al tratarse de vulnerabilidades conocidas en la mayoría de las ocasiones se disponen de exploits públicos con los que un atacante puede llevar acabo con existo su ataque. Sin embargo, existen también desarrollos en los que todos los recursos de la aplicación web se han desarrollado por los trabajadores de la propia empresa. Para estos caso, Offensive State analiza cada contenido del sitio web con el fin de poder detectar y explotar las posibles deficiencias que se encuentren en el código. 3. Comprometer el objetivo y extender el ataque Una vez detectada la vulnerabilidad se procederá a explotarla. Donde si finalmente se ha podido vulnerar los sistemas, Offensive State intentará 1 tomar el control total de la máquina servidor, siendo éste uno de los riesgos más altos que se puede sufrir en un ataque. Igualmente, si este ataque se pudo realizar con éxito, se llevarán acabo técnicas de pivoting entre los distintos equipos conectados a la red. 4. Informe y evaluación Al final la auditoría se entregará al cliente un informe detallado de todas las pruebas realizadas, y de todas aquellas vulnerabilidades encontradas. Evaluando el nivel de sus aplicaciones. Dichos informes son estrictamente confidenciales entre Offensive State y la parte contrate. Garantizando la total seguridad de los datos hallados en los informes. 1 Dependiendo del tipo de contratos establecido entre el cliente y Offensive State.

Qué aporta Offensive Security en el campo de la seguridad ofensiva? En Offensive Security nuestra prioridad es que los recursos informáticos de nuestros clientes sean realmente seguros y por ese motivo, contamos con los mejores profesionales del sector y nos encargamos de tratarlos con respeto y que se sientan a gusto con su trabajo, ya que tenemos la firme convicción de que una persona motivada y valorada es de gran ayuda para cumplir con las necesidades y objetivos del cliente. Por otro lado, contamos con una metodología interna que se ha desarrollado y consolidado gracias a los años que hemos dedicado a la seguridad informática y al hacking. Dicha metodología es una de nuestras bases a la hora de encontrar vulnerabilidades que puedan representar una amenaza real a nuestros clientes. En Offensive State, estamos alineados con las necesidades del cliente y todas las pruebas que realizamos se caracterizan por contener resultados fiables y que aportan valor a los clientes, permitiéndoles conocer el estado real de sus sistemas desde la perspectiva ofensiva, es decir, desde la visión que tendría un atacante en Internet. Si existe una vulnerabilidad en la infraestructura TIC del cliente, solamente cobramos por esa vulnerabilidad y si consideramos que la infraestructura es realmente segura, el cliente solamente pagará los gastos mínimos acordados desde el principio del contrato y en todos los casos recibirá un informe indicando las pruebas que se han realizado y los hallazgos. Finalmente, nuestra política es la de total transparencia y honestidad. Nuestro objetivo es elaborar las mismas estratégicas que utilizan los atacantes en Internet pero con la única finalidad de prevenir a nuestros clientes del posible impacto que supone un ataque exitoso sin que ello produzca una deficiencia en el estado de los sistemas de nuestros clientes. Evitando las posibles caídas de los servicios. Los hallazgos descubiertos serán tratados con absoluta discreción y estarán disponibles únicamente para el cliente con el cual hemos firmado un acuerdo de confidencialidad. Estamos muy comprometidos con la seguridad de los sistemas y la información de nuestros clientes, por ese motivo nos esforzamos en brindar un servicio de calidad y que cubra sus necesidades.

Offensive State...mientras los demás intentan defenderte, nosotros te hacemos más fuerte.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback