Offensive State Auditoría de Aplicaciones Web
Tabla de contenidos Servicio de auditoría en aplicaciones web...3 Por qué?...3 Metodologías...4 Etapas y pruebas a realizar...4 1. Fingerprint del objetivo...4 2. Búsqueda de vulnerabilidades conocidas y no conocidas......5 3. Comprometer el objetivo y extender el ataque...5 4. Informe y evaluación...5 Qué aporta Offensive Security en el campo de la seguridad ofensiva?...6
Servicio de auditoría en aplicaciones web Offensive State ofrece auditorías de aplicaciones web con el fin de que los productos, aplicaciones y recursos de los sitios webs de sus clientes tengan un nivel de seguridad lo suficientemente óptimo como para evitar que un fallo de seguridad exponga los datos sensibles de sus equipos, clientes, o cualquier información que pueda estar al alcanza de un atacante. Independientemente del tipo de tecnología con el que se haya desarrollado la aplicación web, Offensive State analizará, evaluará y auditará los sistemas que lo componen, mitigando cualquier vulnerabilidad de seguridad que se pueda encontrar durante todo el proceso del test de intrusión. Por qué? Las cifras hablan por sí solas, partiendo de la base de que Internet y las páginas webs son el medio de comunicación más utilizado en la actualidad. Por ello es normal encontrar también una gran cantidad de ataques dirigidos contra aplicaciones webs. Si hablamos concretamente de cifras el 99% de las aplicaciones webs analizadas contienen algún tipo de vulnerabilidad. Entre las más comunes: XSS Fugas de información Autenticación y Autorización Gestión de sesiones SQL Injection CSRF Estas vulnerabilidades pueden ser utilizadas por un atacante con algún fin concreto dependiendo de distintos factores. Sin embargo, cabe destacar que cuando se produce alguno de estos ataques la empresa final sufra alguno de los siguientes daños y perjuicios: Robo de Información. Phising. Robo de credenciales. Suplantación de identidad. Apropiación del servidor. Etc El uso y fin con que se puede realizar un ataque dependerá de las intereses del propio ciberdelincuente, pudiendo ser desde la apropiación del servidor donde se aloja la web principal para distribuir malware, hasta la extracción de información sensible como puede ser toda la Base de datos para venderla en el mercado negro.
Por estos motivos es necesario estar concienciado con la seguridad informática y prevenir ataques con auditorias regulares en los sistemas y aplicaciones webs. Metodologías Para poder llevar acabo una auditoría con total eficacia se deben seguir una serie de metodologías y estándares. Tanto a nivel interno como a nivel global Offensive State ofrece auditorías de aplicaciones webs basadas en la metodología Testing Guide del proyecto OWASP (Open Web Application Security Project) reconocido a nivel mundial por numerosas empresas de distintos sectores. Además, realizar un test de intrusión web requiere de rigurosas pruebas. Pruebas basadas también en los ataques más comunes y conocidos según otra de las guías del proyecto OWASP, la cual habla del TOP 10 de ataques a nivel de aplicación web: A1 Injection A2 Broken Authentication and Session Management A3 Cross-Site Scripting (XSS) A4 Insecure Direct Object References A5 Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access Control A8 Cross-Site Request Forgery (CSRF) A9 Using Components with Known Vulnerabilities A10 Unvalidated Redirects and Forwards Por otra parte, Offensive State complementa sus auditorías con metodologías propias basadas en la experiencia de sus profesionales. Etapas y pruebas a realizar. Del mismo modo que actúa cualquier atacante en Internet, existen una serie de pasos que deben seguirse de la forma más metódica posible para contar con la información necesaria y llevar a cabo ataques elaborados. En este punto es necesario aplicar la mentalidad de un buen estratega militar, debe recolectar suficiente información y conocer las debilidades propias y las del enemigo con el fin de poder elaborar técnicas de defensa y ataque. En este sentido, las etapas que se siguen en la metodología interna de Offensive State quedan reflejadas en la siguiente imagen. 1. Fingerprint del objetivo. Cuando se trata de realizar una auditoría de aplicación web o test de intrusión web, el primer objetivo de un atacante es realizar un recorrido por todos los recursos de la web con la intención de
obtener la mayor cantidad de información posible. A mayor cantidad información, mayores serán las probabilidades de existo frente a un ataque. Información como la tecnología con la que está desarrollada la web, versiones de las aplicaciones, comentarios de los desarrolladores, información pública, enumeración de usuarios, etc. De esta manera cuando una atacante tenga un mapa global del sitio podrá realizar su ataque de forma mucho más localizada, centrándose sólo en aquellos puntos que pudieran ser vulnerables. Sabiendo como actúa un ciberdelincuente, Offensive State, seguirá estos mismos pasos para detectar cualquier punto débil en la/s aplicaciones auditadas. 2. Búsqueda de vulnerabilidades conocidas y no conocidas. Tras realizar una búsqueda exhaustiva de información, la siguiente etapa a realizar es la búsqueda de vulnerabilidades conocidas y no conocidas en base a la información recolectada en el punto anterior. En qué consiste exactamente? Existen dos tipos de búsqueda de vulnerabilidades, la que ya existen en productos conocidos y las que no. En muchas ocasiones cuando se desarrollan páginas web se utilizan productos de terceros (CMS como Joomla, Wordpress, etc, o plataformas del tipo apache, IIS, etc). Estos productos están en constante revisión por expertos en seguridad los cuales reportan la vulnerabilidad al proveedor, y que posteriormente se da a conocer de forma pública. Al tratarse de vulnerabilidades conocidas en la mayoría de las ocasiones se disponen de exploits públicos con los que un atacante puede llevar acabo con existo su ataque. Sin embargo, existen también desarrollos en los que todos los recursos de la aplicación web se han desarrollado por los trabajadores de la propia empresa. Para estos caso, Offensive State analiza cada contenido del sitio web con el fin de poder detectar y explotar las posibles deficiencias que se encuentren en el código. 3. Comprometer el objetivo y extender el ataque Una vez detectada la vulnerabilidad se procederá a explotarla. Donde si finalmente se ha podido vulnerar los sistemas, Offensive State intentará 1 tomar el control total de la máquina servidor, siendo éste uno de los riesgos más altos que se puede sufrir en un ataque. Igualmente, si este ataque se pudo realizar con éxito, se llevarán acabo técnicas de pivoting entre los distintos equipos conectados a la red. 4. Informe y evaluación Al final la auditoría se entregará al cliente un informe detallado de todas las pruebas realizadas, y de todas aquellas vulnerabilidades encontradas. Evaluando el nivel de sus aplicaciones. Dichos informes son estrictamente confidenciales entre Offensive State y la parte contrate. Garantizando la total seguridad de los datos hallados en los informes. 1 Dependiendo del tipo de contratos establecido entre el cliente y Offensive State.
Qué aporta Offensive Security en el campo de la seguridad ofensiva? En Offensive Security nuestra prioridad es que los recursos informáticos de nuestros clientes sean realmente seguros y por ese motivo, contamos con los mejores profesionales del sector y nos encargamos de tratarlos con respeto y que se sientan a gusto con su trabajo, ya que tenemos la firme convicción de que una persona motivada y valorada es de gran ayuda para cumplir con las necesidades y objetivos del cliente. Por otro lado, contamos con una metodología interna que se ha desarrollado y consolidado gracias a los años que hemos dedicado a la seguridad informática y al hacking. Dicha metodología es una de nuestras bases a la hora de encontrar vulnerabilidades que puedan representar una amenaza real a nuestros clientes. En Offensive State, estamos alineados con las necesidades del cliente y todas las pruebas que realizamos se caracterizan por contener resultados fiables y que aportan valor a los clientes, permitiéndoles conocer el estado real de sus sistemas desde la perspectiva ofensiva, es decir, desde la visión que tendría un atacante en Internet. Si existe una vulnerabilidad en la infraestructura TIC del cliente, solamente cobramos por esa vulnerabilidad y si consideramos que la infraestructura es realmente segura, el cliente solamente pagará los gastos mínimos acordados desde el principio del contrato y en todos los casos recibirá un informe indicando las pruebas que se han realizado y los hallazgos. Finalmente, nuestra política es la de total transparencia y honestidad. Nuestro objetivo es elaborar las mismas estratégicas que utilizan los atacantes en Internet pero con la única finalidad de prevenir a nuestros clientes del posible impacto que supone un ataque exitoso sin que ello produzca una deficiencia en el estado de los sistemas de nuestros clientes. Evitando las posibles caídas de los servicios. Los hallazgos descubiertos serán tratados con absoluta discreción y estarán disponibles únicamente para el cliente con el cual hemos firmado un acuerdo de confidencialidad. Estamos muy comprometidos con la seguridad de los sistemas y la información de nuestros clientes, por ese motivo nos esforzamos en brindar un servicio de calidad y que cubra sus necesidades.
Offensive State...mientras los demás intentan defenderte, nosotros te hacemos más fuerte.