APLICACIONES WEB – LA IMPORTANCIA DE LAS PRUEBAS DE PENETRACIÓN Y LAS EVALUACIONES DE VULNERABILIDADES – PROTEGE TU APLICACIÓN WEB CON ESTOS 5 PROCEDIMIENTOS.

Aplicaciones Web – Una prueba de penetración a una aplicación web es un ataque simulado bajo condiciones controlables que nos permiten saber si su aplicación web es vulnerable a un ataque informático real. Hace mucho tiempo atrás, las pruebas de penetración se realizaban principalmente en redes; el día de hoy, el foco de las pruebas de penetración está en todo tipo de aplicaciones. Mientras más aplicaciones disponibles, el riesgo de las empresas es mayor porque el rango de exposición a un ataque informático también es mayor.

Las mejores prácticas dictan que las aplicaciones web deben someterse a pruebas de penetración una vez cada trimestre. Pero la realidad es bastante diferente. Un estudio reciente descubrió que la mayoría de las organizaciones no siguen este consejo, y aproximadamente un tercio de los encuestados solo prueban sus aplicaciones una vez al año. Es probable que esto esté relacionado con la gran cantidad de empresas afectadas por ataques informáticos.

De todas formas, el principal propósito de una prueba de penetración realizada en una aplicación web es identificar vulnerabilidades explotables desde la perspectiva de un atacante. Les podemos asegurar que en este mismo momento hay más de un grupo de cibercriminales dedicándose a encontrar vulnerabilidades en sitios web con el fin de explotar las vulnerabilidades encontradas. Principalmente, estos grupos buscan tres cosas:

  1. Robar información de tu empresa y/o de tus clientes
  2. Buscar vulnerabilidades que les permitan cometer algún tipo de fraude monetario
  3. Dañar la reputación de la empresa afectada.

Ahora, la pregunta es: ¿Cuáles son los procedimientos que utilizamos en Seguridad-Ofensiva con el fin de replicar el actuar de un ciberdelincuente y de esa forma encontrar vulnerabilidades en tu aplicación web y remediarlas?

Que buena pregunta…

APLICACIONES WEB – PROCEDIMIENTOS DE UNA PRUEBA DE PENETRACIÓN

En Seguridad-Ofensiva tenemos un dicho: si el procedimiento es replicable, es un procedimiento que sirve. Esto es lo que aplicamos en cada una de nuestras pruebas de penetración en aplicaciones web:

Planificación Y Recopilación De Datos: En este proceso, le ayudamos a nuestros clientes a definir los objetivos de la prueba de penetración a realizar. Muchas preguntas aparecen, todas estas preguntas son vitales para sacar el máximo provecho de la prueba.

  • ¿Qué sistemas se incluirán en la prueba de penetración?
  • ¿Estará el foco de la prueba de penetración en los subdominios, en las carpetas, o en ambos?
  • ¿Desea que prestemos atención especial al sistema de encriptado?
  • ¿Nos puede proveer un perfil de usuario para testear el sistema de autenticación y los controles de acceso?

En Seguridad-Ofensiva, durante este proceso, recolectamos toda la información que necesitamos. Descubrimos subdominios, carpetas, numero de sistema autónomo, tecnologías, recolectamos wordlists, récords de DNS y todo lo que nos hará el viaje más placentero 😊.

Escaneo Y Enumeración: Ahora, con la aprobación de nuestros clientes, procedemos a ejecutar nuestro trabajo y durante las horas estipuladas en el contrato.

Durante esta etapa, el plan es uno solo: ENCONTRAR VULNERABILIDADES. Para ello, utilizamos técnicas de modelado de ataques controlados. Estas nos permiten tocar todas las bases en nuestros procesos. En Seguridad-Ofensiva nos enfocamos a encontrar una respuesta veraz Y REPLICABLE a cada de las siguientes preguntas.

  • ¿Cuáles son y cómo podemos saltar los mecanismos de defensa de la aplicación web?
  • ¿Es la aplicación web susceptible a un ataque de autenticación?
  • ¿Es la aplicación vulnerable a un ataque en las sesiones de los usuarios?
  • ¿Pueden ser vulnerados los controles de acceso?
  • ¿Podemos vulnerar la lógica de la aplicación?
  • ¿Es la aplicación vulnerable a ataques de fuerza bruta?
  • ¿Es la aplicación web vulnerable a ataques de cross site scripting?
  • ¿Podemos obtener información a través de un ataque de inyección SQL?
  • ¿Podemos crear un exploit que afecte al lenguaje de la aplicación web?
  • ¿Divulga la aplicación más información de la necesaria en el código fuente, en robots.txt, o en sitemap.xml?
  • ¿Es el código fuente vulnerable?
  • ¿Podemos encontrar información de la aplicación web en otros sitios como GitHub?

Estas son solo algunas preguntas que generamos en nuestro proceso de enumeración. Cuando encontramos una vulnerabilidad que nos permita un acceso no autorizado, EUREKA. Procedemos al siguiente paso.

Explotacion: Cuando ya tenemos una puerta de entrada, procedemos a informar a nuestro cliente para realizar la explotación de la vulnerabilidad. Este proceso es vital porque nos dirá que tan profundo en el sistema un atacante puede ir.

Durante este proceso encontramos las respuestas a cada una de estas preguntas.

  • ¿Se puede obtener una shell en reversa desde el servidor?
  • ¿Puede el atacante robar la base de datos?
  • ¿Entrega la vulnerabilidad algún tipo de acceso al sistema interno?
  • ¿Puede el atacante modificar los permisos de los usuarios?
  • ¿Puede el atacante modificar los archivos de la aplicación?
  • ¿Puede el atacante escalar los privilegios de usuario?
  • ¿Puede el atacante mantener el acceso a voluntad o el ataque es solo de una conexión?
  • ¿Tiene el sistema vulnerado algún sistema de logs que permita la identificación del ataque?

Con las respuestas correctas a estas preguntas procedemos al siguiente paso.

Reporte: Con la información de todos los procesos ya recolectada, generamos un reporte final que le muestra al cliente en forma empírica que tan segura es su aplicación web. Cada uno de los procesos es documentado a través de screenshots que muestras cada una de nuestras metodologías. Nuestro reporte también incluye sugerencias para las remediaciones de cada una de las vulnerabilidades encontradas.

Re-Test: El cliente, al obtener su reporte, ahora sabe cuáles son las fortalezas y debilidades de su aplicación web. Seguridad-Ofensiva ofrecen sin costo alguno un re-test de la aplicación web después de que el cliente haya realizado la remediación de las vulnerabilidades encontradas. De esta forma nos aseguramos de que la aplicación ya no presente vulnerabilidades.

ES DE ESTA FORMA Y SOLO DE ESTA FORMA COMO SE INCREMENTA LA SEGURIDAD DE UNA APLICACIÓN WEB.

Te invitamos a que conozcas nuestros servicios de penetración en sitios web: Nuestros Servicios – Pruebas de Penetración en Sitios Web

Conociendo vulnerabilidades comunes en aplicaciones web: Seguridad-Ofensiva | OWASP Top 10

Costos de nuestros servicios de pruebas de penetración en sitios web: Seguridad-Ofensiva | Costos de una prueba de penetración

Mas de OWASP Top 10: OWASP | Project Top Ten

Leave a Reply

Your email address will not be published. Required fields are marked *