Overview
¿Por qué dejar que los hackers descubran las vulnerabilidades de sus aplicaciones? Deje que lo haga antes Foundstone y corrija sus brechas de seguridad. Foundstone puede salvaguardar la imagen de su empresa y evitar las pérdidas de ingresos.
El National Institute of Standards and Technology estima que casi el 92% de las vulnerabilidades de hoy en día se encuentra en la capa de aplicaciones. Prácticamente todas las aplicaciones más importantes han sido noticia por presentar al menos una vulnerabilidad, con la consiguiente pérdida de ventas que ello supone, por no hablar de las repercusiones sobre la imagen de la empresa y la confianza del cliente. El servicio de evaluación Application Penetration Assessment de Foundstone examina las aplicaciones desde la perspectiva de un hacker malintencionado para detectar las brechas antes de que se difundan públicamente y puedan ser aprovechadas.
Principales ventajas
- Permite detectar las brechas en las aplicaciones antes de que lo hagan los hackers
- Podrá comprobar hasta qué punto es segura una aplicación antes de distribuirla
- Conocerá los riesgos a los que se enfrenta y las posibles consecuencias para su empresa y sus productos
- Contará con una evaluación manual de confianza para una mayor exactitud y eficacia
- Disfrutará de una transferencia activa de conocimientos sobre técnicas de evaluación, detección de problemas y corrección
Methodology
En primer lugar se realizan revisiones estáticas de los ejecutables de archivos binarios y bibliotecas que forman parte de la aplicación. Las exploraciones a nivel del servidor sirven para detectar vulnerabilidades conocidas y errores de configuración comunes. Posteriormente, nuestros asesores expertos en evaluaciones de penetración inician un proceso de indagación para recopilar información sobre la aplicación y buscar vulnerabilidades de difusión de información que permitan acceder a datos confidenciales como contraseñas, claves de cifrado o información de los clientes. Con estos datos en mano, Foundstone realiza la mayor parte de las pruebas:
- Evaluación de la gestión de configuraciones, como la detección de información confidencial presente en los archivos de configuración. También trata de detectar aquella información del entorno susceptible de ser manipulada con el fin de alterar el comportamiento de la aplicación, así como las cadenas de texto y confidenciales presente en los archivos binarios de la aplicación o en la memoria.
- Revisión de la protección de datos almacenados o en tránsito, cuando se transmite información confidencial a través de la red, o se almacena en un disco o base de datos.
- Evaluación del sistema de autenticación y autorización para determinar las vulnerabilidades de omisión de seguridad y escala de privilegios.
- Verificaciones de la gestión de la sesión y el estado para determinar las vulnerabilidades de secuestro de sesiones y otros ataques de este tipo.
- Pruebas de validación de datos para detectar problemas como la inyección de SQL o los desbordamientos del búfer.
- Evaluación de la gestión de errores y excepciones mediante tentativas de bloquear la aplicación en un estado de desprotección o provocar la divulgación de información mediante archivos de volcado de bloqueo.
- Comprobaciones de auditoría y registro mediante tentativas de alterar los registros de auditoría, crear entradas de registro falsas, identificar información confidencial presente en los archivos de registro o usar mecanismos de registro como vector de ataque.
El objetivo primordial de todas estas pruebas consiste en poner en peligro los servidores, agentes remotos y clientes de la aplicación. Además, Foundstone busca las vulnerabilidades de las aplicaciones que permitirían a un atacante acceder al sistema operativo subyacente o a las bases de datos de servidor.