Auditoría de Aplicaciones Web

El Instituto Seguridad Internet (ISI) ofrece un novedoso servicio de auditoría de aplicaciones web basado en la infraestructura de pruebas desarrollada por el Proyecto Abierto de Seguridad en Aplicaciones Web (OWASP). Mediante este servicio se verifica si se han implantado los requisitos de seguridad necesarios en la aplicación auditada y se detectan agujeros de seguridad, puntos de entrada, debilidades en los servicios de seguridad y otros problemas.

Todas las aplicaciones y servicios web resultan potencialmente susceptibles a un conjunto común de ataques que son independientes de la plataforma y tecnología subyacentes. Nuestra metodología de pruebas de seguridad identifica cuáles son estas categorías comunes de ataque, así como las técnicas particulares de ataque dentro de cada categoría. El ataque con éxito a una aplicación web se basa normalmente en la combinación o encadenamiento de varias de estas técnicas individuales, con ligeras modificaciones entre distintas plataformas, servidores y lenguajes.

Estos ataques son posibles debido a la presencia de vulnerabilidades comunes, con las particularidades propias de cada sistema operativo y lenguaje. Dichas vulnerabilidades tienen su origen en defectos en el diseño de la aplicación, en la programación descuidada de las rutinas, en la pobre implantación de las medidas de control de acceso o en la falta de validación y saneamiento de los datos de entrada. Una causa común de agujeros de seguridad reside en la deficiente configuración del servidor web y del sistema operativo subyacente, lo que se suele denominar bastionado de la plataforma de explotación.

La metodología desarrollada por ISI y utilizada por sus expertos en seguridad para llevar a cabo la auditoría se estructura de la siguiente forma:

Recopilación de información: detección y análisis

Pruebas no invasivas: peticiones convencionales sobre el protocolo HTTP Detección de puntos de entrada Información sobre dirección IP Información sobre dominio Información del certificado de servidor Tipo y versión del servidor web Estructura de navegación Análisis de contenidos Revisión de comentarios Lenguajes de contenido Análisis de cookies y sesiones Pruebas invasivas: peticiones que el servidor web no espera recibir Navegación forzada Vulnerabilidades comunes Análisis de errores Desensamblado de programas Pruebas de infraestructura: plataforma y otros servicios ofrecidos, además del web Identificación del sistema operativo

Identificación de otros servicios ofrecidos en el mismo servidor

Pruebas de seguridad del sistema: ataque activo Ataques comunes al servidor web Revisión de vulnerabilidades conocidas Revisión de configuraciones erróneas Autenticación y gestión de sesiones Ataques contra nombres de usuario y contraseñas Recordatorio de contraseñas Predictibilidad de identificadores de sesión Reutilización de sesión Secuestro de sesión Caducidad de sesión Transmisión de credenciales y testigos Manipulación de información Manipulación de cabeceras HTTP Manipulación de cookies Manipulación de formularios Manipulación de URLs Manipulación de métodos de petición HTTP Validación de entrada Cross Site Scripting (XSS) Inyección de comandos SQL Inyección de comandos del sistema operativo Comandos para depuración Server Side Includes Bytes Null Unicode Comprobación de límites Rutas de acceso de entrada Disponibilidad Pruebas de estrés Desbordamientos de búfer

Inyección de errores

Como complemento de la metodología reseñada, ISI desarrolla herramientas propias adaptadas a la medida de las características de la aplicación web auditada para probar nuevos ataques no soportados por ninguna otra herramienta.

Una vez terminadas las pruebas, ISI elabora un informe de auditoría que recoge las vulnerabilidades encontradas, así como las recomendaciones sobre las soluciones a implantar. La duración de la auditoría es variable en función de los sistemas a analizar pudiendo estimarse en 50 horas la duración de referencia para obtener unos resultados satisfactorios.