Auditoría Web
OBJETIVO
El objetivo de una
auditoría web es conseguir información veraz y fiable del estado de seguridad
de la aplicación web, poniendo aprueba el estado de las barreras de seguridad
que ofrecen sus servicios, evaluando así su integridad. Con esto, se pretende
descubrir el mayor número de vulnerabilidades y fallos de seguridad que pueden
ser el resultado de una mala gestión y configuración existente en esta.
ALCANCE DE UNA AUDITORIA
WEB
En este tipo de
auditoría, el alcance se limita a la página o aplicación web de la
organización, no se evaluarán los servidores que la alojan, los servicios
expuesto o los demás componentes perimetrales (auditoría externa).
PRUEBAS QUE SE REALIZAN
DURANTE UNA AUDITORIA WEB
La auditoría web dispone
de varias fases. La primera, consiste en la recolección de información donde se
pretende descubrir todos los posibles directorios, rutas, archivos, etc. que
posea la aplicación, la revisión del código fuente para detectar posibles fugas
de información, etcétera.
Posteriormente, cuenta
con dos fases de pruebas de seguridad. La primera de ellas, una fase pasiva,
donde se observa el funcionamiento de la aplicación y se ponen a prueba todas
las funcionalidades posibles de la misma. El objetivo de esta fase es entender
la lógica de operación e identificar los posibles vectores de ataque y/o
vulnerabilidades.
A continuación, en la
segunda fase de pruebas de seguridad, se ejecutarán de forma activa las pruebas
propuestas según los vectores identificados en la fase anterior. Además, dentro
de las pruebas realizadas, cabe destacar algunas como la inyección SQL, la fuga
de información, los métodos de autenticación o cifrado débil, la validación
incorrecta de parámetros, etcétera.
BENEFICIOS DE UNA
AUDITORIA WEB
Llevar a cabo una
auditoría web proporciona a la organización una visión clara del problema de
seguridad que posee su aplicación, sea cual sea, además de ofrecer a esta las
contramedidas que debe adoptar para subsanar las vulnerabilidades encontradas
en la aplicación.