Servicios

Auditoría de seguridad web

Una auditoría de seguridad web o comunmente llamada pentest web, es la práctica de atacar o testear diversos sistemas, webs, etc, con la intención de descubrir vulnerabilidades u otros fallos de seguridad, para así poder aplicar medidas correctoras para esas vulnerabilidades o fallos y prevenir que ataques externos hacia nuestros sistemas, webs, etc. Se recominenda hacer auditorías periodicas como marca la ley (GDPR). Más detalles ¿Qué es un pentest?

Soluciones

LITE SECURITY PACKAGE:

  • Escaneo de vulnerabilidades.
  • Informe técnico de resultados.
  A partir de 850 euros 
BUSINESS SECURITY PACKAGE:auditoria web
  • Escaneo de vulnerabilidades.
  • Revisión de resultados.
  • Informe técnico de resultados.
  • Análisis de vulnerabilidades.
  • Informes de remediación.
  • Informe ejecutivo.
  • Suscripción RSS seguridad
 A partir de 1350 €
ENTERPRISE SECURITY PACKAGE:

auditoria seguridad

  • Escaneo de vulnerabilidades.
  • Revisión de resultados.
  • Informe técnico de resultados.
  • Análisis de vulnerabilidades manual.
  • Explotación de las vulnerabilidades.
  • Reconocimiento de alcance.
  • Recolección de evidencias.
  • Informes de remediación.
  • Informe ejecutivo.
  • Suscripción RSS seguridad.
Consultar

   

 

Auditoria de seguridad de aplicaciones (aplicaciones y app’s móviles)

El principal objetivo de una auditoría de seguridad de aplicaciones y apps móviles (pentest o test de penetración de app ) consiste en determinar las vulnerabilidades o debilidades de seguridad, pero también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de Seguridad, someter un sistema a constantes pruebas de intrusión puede ser la mejor vía para garantizar su seguridad.

Identificar posibles puntos críticos en el aplicativo (APP) que pudiesen suponer un riesgo para su organización, desde el robo de credenciales, suplantación de identidad, denegación de servicio, acceso a datos de su empresa, hasta obtener el código original de la App (reversearla)  para crear una APP parecida y distribuir malware a través de esta.

Solución

Nuestras pruebas de pentest que realizamos cumplen todos los estándares de Owasp.

auditoria pentest aplicaciones
  • Escaneo de vulnerabilidades.
  • Revisión de resultados.
  • Informe técnico de resultados.
  • Análisis de vulnerabilidades.
  • Explotación de las vulnerabilidades.
  • Reconocimiento de alcance.
  • Recolección de evidencias.
  • Informes de remediación.
  • Informe ejecutivo.
  • Suscripción RSS seguridad.
 a partir de  1100€

Metodología auditoría web y de aplicaciones

owasp

owasp pentest , auditoria web

Todos los servicios se basan en el standard y en la metodología de OWASP, https://www.owasp.org, que es una organización sin ánimo de lucro, que se dedica a impulsar la visibilidad  y evolución de  la seguridad y la protección  de las aplicaciones  en el mundo.

 

 

Top ten de los riesgos más críticos de aplicaciones web

  • A1-Inyección
  • A2- Pérdida de autenticación y gestión de sesiones
  • A3- Cross-Site Scripting (XSS)
  • A4- Referencias directas inseguras a objetos
  • A5- Configuración de seguridad incorrecta
  • A6- Exposición de datos sensibles
  • A7- Ausencia de control de acceso a funciones
  • A8- Falsificación de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF).
  • A9- Utilización de componentes con vulnerabilidades conocidas
  • A10- Redirecciones y reenvíos no validados.

Top ten de los riesgos más críticos de aplicaciones móviles

pentest

  • M1 – Incorrecto uso de la plataforma.
  • M2- Almacenamiento de ficheros de forma insegura
  • M3- Autenticación insegura
  • M4- Protocolos de cifrado inseguros
  • M5- Comunicaciones inseguras
  • M6- Autorización insegura
  • M7- Calidad del código de cliente
  • M8- Manipulación de código
  • M9- Ingeniería inversa (Reversing)
  • M10- Funciones inseguras.

 

Descripción de los servicios:

RECONOCIMIENTO DE ALCANCE

En esta fase se define el objetivo de la auditoría, hasta donde llegará la auditoría y que analizará, definiendo el análisis necesario para llegar a él.

ESCANEO DE VULNERABILIDADES:

Se trata de un servicio basado en herramientas automáticas de escaneo de vulnerabilidades interno de la organización, mediante herramientas que escanean la infraestructura (Nessus, FoundStone, etc, que genera tickets, informes, estadísticas y que realiza la supervisión completa del ciclo de vida de una vulnerabilidad).

ANÁLISIS DE VULNERABILIDADES

Se realiza un análisis automático adaptado al objetivo, en el escenario definido, para detectar vulnerabilidades  y se estudia el impacto que pueden tener según el objetivo definido en el alcance del estudio y la viabilidad de que esas vulnerabilidades sean explotadas por un atacante, cuando el análisis es manual, un especialista analiza vulnerabilidad por vulnerabilidad des de el punto de vista de negocio con pruebas manuales si fuera necesario en la lógica de la web.

EXPLOTACIÓN DE LAS VULNERABILIDADES

Una vez encontradas las vulnerabilidades, se explotan en el escenario según el objetivo definido, como podría hacer un atacante, para determinar alcance e impacto.

REVISIÓN DE RESULTADOS

Un analista de seguridad, revisa los resultados ofrecidos por la herramienta, descartando los falsos positivos que puedan encontrarse.

INFORME TÉCNICO DE RESULTADOS.

Se realiza un informe en el que se muestran las vulnerabilidades encontradas, una vez eliminado los falsos positivos

RECOLECCIÓN DE EVIDENCIAS

En esta fase se recopila la información en la que se evidencia las vulnerabilidades encontradas y explotadas en las diferentes pruebas realizadas durante la fase de explotación de las vulnerabilidades

INFORMES DE REMEDIACIÓN

Se realiza un informe técnico en el que se sugieren diferentes opciones a realizar para solucionar las vulnerabilidades encontradas.

INFORME EJECUTIVO

En este informe se explica a alto nivel las vulnerabilidades encontradas,  su viabilidad y el impacto que podrían tener en el caso de ser explotadas por un atacante.

SUSCRIPCIÓN RSS SEGURIDAD

En este canal de suscripción de seguridad, se enviará a las personas dadas de alta, noticias del ámbito de la seguridad, como pueden ser vulnerabilidades encontradas, actualizaciones de seguridad de productos, etc…

Recurrencia

Cualquier solución podrá tener recurrencia, ya sea diaria, semanal, mensual, trimestral o semestral.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies