Hacking Ético para aplicaciones Web

Un proyecto de Hacking Ético consiste en un testeo de seguridad controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un intruso o pirata informático pero de forma ética, previa autorización de un convenio de confidencialidad por escrito. El resultado es un informe donde se identifican los sistemas en los que se ha logrado penetrar y la información confidencial y/o secreta conseguida.

Los sitios web se han convertido en el talón de Aquiles de la seguridad informática, los atacantes están intensamente enfocados en atacar aplicaciones web para así infectar las máquinas de los usuarios finales y están poniendo a las empresas en contra de sus propios clientes en sus constantes esfuerzos por robar datos personales de los consumidores.

Si su empresa desarrolla aplicaciones web o utiliza de terceros, nosotros podemos ayudarlo a mejorar la seguridad de su sistema, porque generalmente en las empresas se realiza un testeo de funcionalidad pero casi nada un testeo de seguridad. Mediante este servicio podemos testear la seguridad de su aplicación y entregarle un informe de los problemas encontrados.

Beneficios de este servicio:

  • Permite tener una visión de la seguridad de su aplicación.
  • Entregar una aplicación más segura y con ello un valor agregado al sistema.
  • Permite verificar la seguridad de su sistema por terceros.
  • Ahorra recursos.
  • Aumenta la calidad del software.
  • Mejora las relaciones y la confianza del cliente al evitar incidentes que pueden dañar la relación con él.

Testeos de Aplicaciones Web

El servicio ofrecido incluye todos los testeos de seguridad informática de la aplicación en Internet. Se realizará en base al estándar OWASP o OSSTM y a continuación se enumeran los diferentes testeos que se realizan:

  1. Análisis de las aplicaciones Web
    1. Enumeración de accesos al sitio
    2. Enumeración de Aplicaciones dentro del sitio
    3. Búsqueda de entradas y salidas de datos
    4. Búsqueda de errores de diseño
    5. Búsqueda de errores de configuración
    6. Búsqueda de errores de desarrollo
    7. Análisis de la autenticación
    8. Análisis de la autorización
    9. Análisis del manejo de sesiones
    10. Análisis de la funcionalidad
    11. Análisis de técnicas de Cross Site Scripting
    12. Análisis con técnicas de Sql Injection
  2. Generación del informe final

Entregas

Se entregará un informe final gerencial y técnico, en el que se incluyen los análisis y los resultados de las pruebas. El reporte entregado contendrá la evaluación del estado de seguridad a la fecha de la conclusión de las pruebas como así también las recomendaciones en cada caso.