Auditoría Exhaustiva de aplicaciones Web (AEW)
La auditoría exhaustiva de aplicaciones web permite focalizar el esfuerzo de los auditores en comprobar la seguridad de aplicaciones web y su nivel de riesgo.
Se revisará remotamente en modalidad de Black box (con sólo conocimiento de la URL) y se intentará comprometer la seguridad de la aplicación web durante 3 días.
La auditoría se realizará en base a la última versión del OWASP Top 10.
Hacking ético pasivo y obtención de información externa mediante OSINT:
• Descubrimiento de publicación de información sensible
• Test de indexación de servidores y servicios públicos en fuentes abiertas
• Test de “Information disclosure” con Search Engine Hacking
• OSINT con técnicas de “Email Assumption”
Hacking ético activo:
Auditoría basada en los 10 principales riesgos de seguridad descritas por la última versión del OWASP.
• Inyección de código
• Pérdida de autenticación y gestión de sesiones
• Secuencia de comandos en sitios cruzados (XSS)
• Referencia directa insegura a objetos
• Configuración de seguridad incorrecta
• Exposición de datos sensibles
• Ausencia de control de acceso a las funciones
• Falsificación de peticiones en sitios cruzados (CSRF)
• Uso de componentes con vulnerabilidades conocidas
• Redirecciones y reenvíos no validados.
Realización de informes ejecutivo y técnico:
• Objetivo, alcance, metodologías y fases seguidas.
• Resumen ejecutivo con las conclusiones más significativas ordenadas por criticidad y estatus.
• Informe técnico con el detalle de la auditoría. Datos técnicos, vulnerabilidades ordenadas por criticidad, evidencias y recomendaciones para solventar o minimizar el riesgo.
• Detalle de tareas realizadas.