Web Application Penetration Assessment

Detecte las vulnerabilidades de su sitio web

Overview

El National Institute of Standards and Technology estima que casi el 92% de las vulnerabilidades de hoy en día se encuentra en la capa de aplicaciones. Nuestra experiencia demuestra que 9 de cada 10 clientes tiene al menos una brecha de seguridad importante que podría provocar la fuga de datos de clientes o poner en riesgo todo el sistema. El servicio Web Application Penetration Assessment de Foundstone examina los sitios web desde la perspectiva de un hacker malintencionado para detectar las brechas de seguridad antes de que puedan ser aprovechadas.

Foundstone lleva desde los inicios siendo líder en el ámbito de las pruebas de penetración en aplicaciones web. Ya publicamos "Hacking Exposed: Web Applications” y seguimos impulsando nuestro liderazgo en el sector con nuestro último libro, “How to Break Web Software". Por otra parte, seguiremos integrando el servicio en nuestra oferta más amplia de seguridad de software para ayudar a nuestros clientes a diseñar y crear software más seguro.

Creamos y ofrecemos numerosas herramientas gratuitas para ayudar a automatizar determinadas áreas de las pruebas, como SSLDigger, una herramienta que permite comprobar la eficacia del cifrado y la configuración SSL de los servidores web; CookieDigger, una herramienta para evaluar el grado de seguridad de las cookies de sesión; y SiteDigger, una herramienta que permite determinar si los motores de búsqueda como Google dejan al descubierto partes de su presencia online.

El proyecto Open Web Application Security Project (OWASP) es, de hecho, el punto de referencia a este respecto. Foundstone se encuentra desarrollando varios proyectos de gran importancia, como la creación de un estándar para los criterios de evaluación.

Principales ventajas

  • Le permitirá detectar las brechas de seguridad en sus sitios web antes de que lo hagan los hackers
  • Contará con la certeza de que sus aplicaciones están bien protegidas a medida que empiezan a distribuirse
  • Conocerá los riesgos y el posible impacto en su empresa
  • Contará con la confianza que ofrece una metodología de pruebas manual precisa y bien consolidada, de mayor precisión y eficacia
  • Disfrutará de una transferencia activa de conocimientos sobre técnicas de evaluación, detección de problemas y corrección

Methodology

Conocemos las considerables limitaciones de las herramientas de prueba automatizadas, como los exploradores de aplicaciones web, así que prácticamente toda nuestra evaluación se realiza y se verifica de forma manual, siguiendo una metodología coherente, sistemática y bien definida. Las herramientas automatizadas sólo las empleamos en aquellas áreas de la evaluación en que han demostrado ser precisas y eficientes (lo que, por lo general, representa menos del 5% de nuestro servicio). Además, estamos patrocinando un proyecto de investigación (OWASP) para establecer criterios de referencia en cuanto al rendimiento de estas herramientas automatizadas.

Detección: colaboramos con nuestros clientes para conocer el impacto empresarial de varios elementos, de manera que podamos cualificar y cuantificar los riesgos empresariales de las vulnerabilidades encontradas.

Evaluación: para asegurarnos de que se evalúan todas las áreas cruciales, así como para garantizar la coherencia y sistematicidad, utilizamos un marco de seguridad común que comprende lo siguiente:

  • La autenticación
  • La autorización
  • La administración de usuarios
  • La administración de sesiones
  • La validación de datos, lo que incluye todos los ataques comunes como la inyección de SQL, las secuencias de comandos entre sitios, la inyección de comandos y la validación del cliente
  • La gestión de errores y excepciones
  • Las auditorías y registros

La notificación y entrega de resultados: una vez finalizado el servicio, elaboramos un informe detallado por escrito acompañado de un resumen ejecutivo centrado en los resultados y su impacto empresarial. Los resultados técnicos que entregamos a cada uno de nuestros clientes siempre contienen detalles específicos y recomendaciones para su corrección.