Visión general
El Instituto nacional de estándares y tecnología estima que hasta el 92% de las vulnerabilidades actuales se encuentran en la capa de aplicación. Nuestra experiencia ha demostrado que 9 de cada 10 clientes tiene al menos una vulnerabilidad grave que podría ocasionar la divulgación de los datos de los clientes o el compromiso total del sistema. La Evaluación de penetración de aplicaciones Web de Foundstone observa un sitio Web desde la perspectiva de un pirata informático y descubre las vulnerabilidades antes de que ellos puedan aprovecharlas.
Foundstone ha liderado el campo de las pruebas de penetración de aplicaciones Web desde el primer día. Publicamos “Hacking Exposed: Web Applications” y continuamos impulsando nuestro liderazgo en la industria con nuestro libro más reciente “How to Break Web Software”. Seguiremos integrando el servicio en nuestras ofertas de seguridad de software más amplias para ayudar a nuestros clientes a diseñar y crear software más seguros.
Hemos creado y publicado muchas herramientas gratuitas para ayudar a automatizar algunas áreas de prueba, incluida SSLDigger, una herramienta que pone a prueba la solidez del cifrado y la configuración SSL de servidores Web; CookieDigger, una herramienta para probar la solidez de la seguridad de las cookies de sesión y SiteDigger, una herramienta que permite determinar si motores de búsqueda como Google están exponiendo parte de su presencia online.
El proyecto Open Web Application Security Project (OWASP) es el punto de referencia de facto en la materia. Actualmente, Foundstone lidera diversos proyectos clave, incluida la creación de un estándar para los criterios de prueba.
Beneficios clave
- Detecte vulnerabilidades en los sitios Web de producción antes que los piratas informáticos
- Lleve a cabo un control de calidad de la seguridad a medida que las aplicaciones pasan a producción
- Conozca los riesgos y el posible impacto que las amenazas pueden causar en su negocio
- Básese en una metodología de pruebas manuales detallada y bien establecida que brinda precisión y eficacia
- Obtenga una transferencia de conocimientos segura sobre técnicas de pruebas, problemas y soluciones
Metodología
Comprendemos las considerables limitaciones de las herramientas de pruebas automatizadas, como escáneres de aplicaciones Web, de modo que casi todas nuestras pruebas se realizan y se verifican manualmente, usando una metodología bien definida, repetible y coherente. Utilizamos herramientas automatizadas en áreas de la evaluación solamente donde hemos comprobado que son precisas y efectivas (generalmente, en menos del 5% del servicio) y hemos patrocinado un proyecto de investigación OWASP para medir el rendimiento de estas aplicaciones automatizadas.
Descubrimiento: trabajamos junto a usted para comprender el impacto en el negocio de diversas características, de modo que podamos calificar y cuantificar el riesgo que las vulnerabilidades detectadas presentan para el negocio.
Evaluación: para asegurarnos de realizar pruebas en todas las áreas fundamentales y para garantizar la consistencia y repetibilidad, usamos un marco de seguridad común que incluye lo siguiente:
- Autenticación
- Autorización
- Administración de usuarios
- Administración de sesiones
- Validación de datos, incluidos todos los ataques comunes como inyección de SQL, scripting entre sitios, inyección de comandos y validación del lado del cliente
- Administración de manejo y excepción de errores
- Auditoría y registros
Informes y resultados: al finalizar el servicio, redactamos un informe detallado con un resumen ejecutivo que da prioridad de los descubrimientos y explica el impacto para su negocio. Todos nuestros descubrimientos técnicos individuales contienen detalles específicos y recomendaciones para su mitigación.