En ZuluAlfa basamos todos nuestros trabajos de auditoría de seguridad web en OWASP (Open Web Application Security Project), una metodología abierta y colaborativa, orientada al análisis de seguridad de aplicaciones Web, y usada como referente en auditorías de seguridad. Lo que nos permite analizar y evaluar los riesgos de manera estructurada.

La revisión de los controles, definidos por esta metodología, permite al equipo de auditores garantizar que una revisión de la plataforma se realiza de forma adecuada, garantizando que todos los vectores de ataque han sido analizados y que los fallos de seguridad han sido detectados. Este proceso ayuda a mejorar la seguridad y la protección de los sistemas informáticos de nuestros clientes.

Auditoría web – Enfoque de análisis de seguridad

Existen dos modalidades principales de revisión de seguridad basada en OWASP

1 – Auditoría OWASP TOP 10: El enfoque de un trabajo de auditoría web estas características es revisar una aplicación en busca de las debilidades más habituales y que tienen un impacto mayor en la seguridad de un sistema.

  • A1: Inyección
  • A2: Cross-Site Scripting (XSS)
  • A3: Autenticación y gestión de sesiones
  • A4: Referencias inseguras a objetos directos
  • A5: Configuración de Seguridad Incorrecta
  • A6: Exposición de Datos Sensibles
  • A7: Ausencia de Control de Acceso a las Funciones
  • A8: Falsificación de peticiones en sitios cruzados (CSRF)
  • A9: Uso de Componentes con Vulnerabilidades Conocidas
  • A10: Redirecciones y reenvíos no validados

Una auditoría web en la que se evalúan los controles del TOP 10 de OWASP es la recomendable cuando se estudia la seguridad de una aplicación web por primera vez o cuando la seguridad de este entorno no es crítica para la empresa. Ofrece una buen equilibrio en cuanto a esfuerzo, costes y resultados.

2 – Auditoría OWASP completa: El objetivo en una revisión de seguridad web completa, que se apoya en la metodología OWASP, es validar los 87 controles definidos por la metodología, haciendo especial hincapié en errores relacionados con lógica de negocio. Es el enfoque ideal cuando la criticidad de una plataforma es elevada, y ayuda a blindar un sistema frente a ataques informáticos.

Técnicas de auditoría web

Las revisiones de seguridad de una aplicación Web se pueden realizar tanto de forma automática, mediante el uso de herramientas comerciales, como mediante un análisis manual de cada uno de los módulos de la aplicación. ZuluAlfa se apoya en ambas técnicas, dedicando un mayor esfuerzo en el estudio manual de seguridad web, de cara a identificar errores relacionados con lógica de negocio y fallos de seguridad que no pueden ser encontrados mediante el uso de herramientas automáticas.

Contacte con ZuluAlfa para realizar una auditoría de seguridad web apoyada en la metodología OWASP y proteja sus aplicaciones de negocio.