SEGURIDAD DE LA APLICACIÓN

El objetivo de la prueba de penetración básica es revelar la mayor cantidad posible de vulnerabilidades de seguridad más críticas en la aplicación web / servidor web durante un día.
Principalmente, la prueba es automatizada usando nuestras herramientas comerciales y de código abierto (la mayoría de ellas están disponibles aquí). La existencia de todas las vulnerabilidades altas-críticas se verifican manualmente. Utilizamos nuestros conocimientos de seguridad de aplicaciones web para elegir las herramientas más adecuadas para cada aplicación específica.

La prueba consiste en:

• Recopilación de información – se identifica y documenta la información sobre el sistema objetivo incluyendo la versión del servidor web, sus módulos, el marco de programación utilizado, WAF, identificación de todos los puntos de entrada

• Enumeración y mapeo de vulnerabilidades – se utilizan métodos y técnicas intrusivas (solicitudes HTTP especialmente diseñadas) para identificar vulnerabilidades potenciales (se utilizan escáneres especiales de vulnerabilidades de aplicaciones web de y proxies de inyección de fallas)

• Verificación manual de vulnerabilidades altas críticas reveladas (para prevenir falsos positivos)

Características:

• revela las vulnerabilidades más graves (especialmente las causadas por una validación insuficiente, como las inyecciones de SQL, XSS / CSRF, desbordamientos de búfer, etc.) que pueden revelarse de forma totalmente automatizada
• para pruebas más exhaustivas que también incluyan inspección manual, recomendamos encarecidamente realizar nuestra prueba de penetración estándar o una auditoría completa de seguridad de la aplicación web, que también incluye una demostración práctica de hacking de vulnerabilidades críticas reveladas (codificación de explotaciones propias, volcado de base de datos, CSRF / XSS / demostraciones de fijación de sesión , ..), reunión de un día con los desarrolladores de la aplicación y prueba completa de la aplicación web de acuerdo con la Guía de pruebas de OWASP