Evaluación de penetración de aplicaciones

Busque y corrija vulnerabilidades de las aplicaciones

Próximos pasos:

Visión general

¿Por qué dejar que los piratas informáticos descubran las vulnerabilidades de sus aplicaciones? Primero, permita que Foundstone descubra las debilidades de su seguridad y las corrija. Foundstone puede salvar la reputación de su empresa y evitarle pérdidas de ganancias.

El Instituto nacional de estándares y tecnología estima que hasta el 92% de las vulnerabilidades actuales se encuentran en la capa de aplicación. Casi todas las aplicaciones importantes que se usan actualmente han experimentado al menos una vulnerabilidad crítica publicitada, generando pérdidas de ventas y pérdida de la reputación y la confianza de los clientes. El servicio de pruebas de Penetración de aplicaciones de Foundstone observa la aplicación desde la perspectiva de un pirata informático y descubre las vulnerabilidades antes de que sean aprovechadas y divulgadas al público.

Beneficios clave

  • Detecte vulnerabilidades en las aplicaciones antes que los piratas informáticos
  • Lleve a cabo procedimientos de control de calidad de la seguridad antes de que se publiquen las aplicaciones
  • Comprenda el riesgo y el posible impacto para su negocio y sus productos
  • Confíe en la precisión y eficacia de nuestras pruebas manuales
  • Transferencia activa y segura de conocimientos sobre técnicas de pruebas, problemas y soluciones

Metodología

Las pruebas comienzan con revisiones estáticas de los archivos ejecutables binarios y las bibliotecas que componen la aplicación. Las detecciones a nivel de servidor buscan vulnerabilidades conocidas y errores comunes de configuración. Nuestros consultores de evaluación de penetración llevan a cabo un proceso de descubrimiento para reunir información acerca de la aplicación y buscan vulnerabilidades de divulgación de información que revelen secretos como contraseñas, claves criptográficas o información de los clientes. Con estos datos disponibles, Foundstone realiza la mayor parte de las pruebas, que consisten en:

  • Pruebas de administración de configuración, incluido el descubrimiento de la presencia de información confidencial en archivos de configuración. También se busca información del entorno que pueda aprovecharse para alterar el comportamiento de la aplicación, además de cadenas secretas y de texto en los archivos binarios o en la memoria de la aplicación.
  • Análisis de la protección de los datos almacenados o en tránsito, cuando se transmite información confidencial a través de la red o se almacena en un disco o base de datos.
  • Pruebas de autenticación y autorización para determinar oportunidades de omisión y escalamiento de privilegios.
  • La administración de sesiones y estados comprueba el secuestro de sesiones y otros ataques de ese tipo.
  • Pruebas de validación de datos que detectan problemas como inyección de SQL y desbordamientos de búfer.
  • Pruebas de manejo de errores y administración de excepciones que intentan hacer colapsar la aplicación y dejarla en un estado inseguro o causar la divulgación de información a través de archivos de volcado de la falla.
  • Comprobaciones de auditorías y registros que intentan subvertir pistas de auditoría, crear entradas falsas en el registro, descubrir información confidencial en los archivos de registro o usar el mecanismo de registro como vector de ataque.

Durante todas las pruebas, el objetivo principal es vulnerar los servidores, agentes remotos y clientes de la aplicación. Además, Foundstone vulnerabilidades de la aplicación que permitan a un atacante obtener acceso al sistema operativo subyacente o a los servidores de bases de datos de backend.