Etiqueta: vulnerabilidad

Categorías
Pentesting Web

Pentesting Web

Las aplicaciones Web son siempre una parte vulnerable de los sistemas de información debido a su alto nivel de exposición a en el Internet y a la falta de habilidades de los equipos de desarrollo en prácticas de desarrollo seguro. Por otro lado, durante la pandemia que afectó al mundo en los últimos años, se incrementaron los ciber ataques

Según el reporte anual de Blackberry del 2021, durante la pandemia hubo un aumento del 63% de ciberataques en todo el mundo durante el 2020. De ahí la necesidad de realizar un pentesting a las plataformas Web periódicamente.

Pero ¿Qué es una prueba de penetración Web o pentesting Web?

Un pentesting Web permite evaluar la robustez de los controles de seguridad usados dentro de toda la plataforma Web, como son: servidores, aplicaciones, servicios web y API.

¿Qué se hace durante la prueba de penetración Web?

Durante la prueba de penetración Web, los activos y sistemas de la empresa son inventariados, estudiados y sometidos a escaneo de cualquier vulnerabilidad, y una vez que se han identificado estas, son evaluadas con el fin de identificar si dichas vulnerabilidades son reales y cuál es el riesgo de explotación de las mismas.

El alcance de una auditoria de seguridad web se podrá definir de acuerdo con los siguientes parámetros, los cuales son determinados por la empresa que contrata el servicio de pentesting:

  1. ¿Qué se debe y que no se debe incluir en el pentest?
  2. ¿Cuál es el nivel de detalle requerido?
  3. ¿Cuál es el nivel de ejecución del análisis: Black box (ataque externo sin información provista), Gray o White box (ataque con información provista)?

Y luego de recopilar la información… ¿Cómo la empresa sabe qué debe hacer?

El resultado de esta evaluación es un reporte que permite evaluar la postura de seguridad de su plataforma Web, así como aconsejar al cliente la manera en la que se puede corregir las falencias de seguridad identificadas.

¿Por qué es necesario el Pentesting de Aplicaciones Web?

Internet es un aspecto esencial de muchas tareas del día a día. Millones de personas usan sitios web y aplicaciones para comprar, realizar operaciones bancarias y navegar de forma segura. A medida que las aplicaciones web se vuelven cada vez más populares, se encuentran bajo la amenaza constante de piratas informáticos, virus y terceros malintencionados.

Como muchas aplicaciones web almacenan o envían datos confidenciales, las aplicaciones deben estar seguras en todo momento, especialmente las que usa el público.

El pentesting de aplicaciones web funciona como una medida de control preventivo, lo que le permite analizar cada aspecto de la seguridad de su aplicación web.

Los expertos siguen una lista de verificación de mejores prácticas de pentesting de aplicaciones web , con objetivos generales de:

  • Probar la eficacia de las políticas de seguridad existentes
  • Identificar vulnerabilidades desconocidas
  • Determinar las áreas más vulnerables para un ataque
  • Pruebe todos los componentes de la aplicación expuestos públicamente (enrutadores, firewalls y DNS)
  • Encuentre lagunas que puedan estar expuestas al robo de datos

Tipos de Pentesting Web

Hay dos tipos de pentesting web: interno y externo.

Pentesting Interno

Esta es una forma de pentesting manual de aplicaciones web que se realiza utilizando una LAN desde dentro de una organización. Durante este proceso, las aplicaciones web alojadas en la intranet se someten a pruebas. Las pruebas de penetración internas ayudan a identificar las vulnerabilidades que existen dentro de un firewall corporativo.

Los ataques potenciales que pueden ocurrir incluyen:

  • Ataques a los privilegios de los usuarios
  • Ataques de phishing
  • Ataques de ingeniería social
  • Ataques maliciosos de empleados, contratistas u otras partes descontentos que desean dañar el negocio y tienen acceso a contraseñas y detalles de seguridad.

El pentesting interno intenta acceder a la LAN sin credenciales válidas y descubrir las posibles rutas de ataque malicioso.

Pentesting Externo

Pentesting web externo busca ataques que se originan fuera de una organización. Durante este proceso, a los hackers éticos se les da la dirección IP del sistema de destino y se les pide que simulen ataques externos. Esta es la única información que se les proporciona, ya que utilizan datos públicos para infiltrarse y comprometer el host de destino. El pentesting externo prueba minuciosamente los servidores, firewalls e IDS de una organización.