Auditoría de Aplicaciones Web

El Instituto Seguridad Internet (ISI) ofrece un novedoso servicio de auditoría de aplicaciones web basado en la infraestructura de pruebas desarrollada por el Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP). Mediante este servicio se verifica si se han implantado los requisitos de seguridad necesarios en la aplicación auditada y se detectan agujeros de seguridad, puntos de entrada, debilidades en los servicios de seguridad y otros problemas.

Todas las aplicaciones y servicios web resultan potencialmente susceptibles a un conjunto común de ataques que son independientes de la plataforma y tecnología subyacentes. Nuestra metodología de pruebas de seguridad identifica cuáles son estas categorías comunes de ataque, así como las técnicas particulares de ataque dentro de cada categoría. El ataque con éxito a una aplicación web se basa normalmente en la combinación o encadenamiento de varias de estas técnicas individuales, con ligeras modificaciones entre distintas plataformas, servidores y lenguajes.

Estos ataques son posibles debido a la presencia de vulnerabilidades comunes, con las particularidades propias de cada sistema operativo y lenguaje. Dichas vulnerabilidades tienen su origen en defectos en el diseño de la aplicación, en la programación descuidada de las rutinas, en la pobre implantación de las medidas de control de acceso o en la falta de validación y saneamiento de los datos de entrada. Una causa común de agujeros de seguridad reside en la deficiente configuración del servidor web y del sistema operativo subyacente, lo que se suele denominar bastionado de la plataforma de explotación.

La metodología desarrollada por ISI y utilizada por sus expertos en seguridad para llevar a cabo la auditoría se estructura de la siguiente forma:

Recopilación de información: detección y análisis