Hacer auditorÃas Web no tiene ningún misterio. Basta con conocer los métodos, para después aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. AsÃ, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.
Para comprobar que el método no tiene ningún misterio, os enlazo este tutorial de auditorÃas Web de SANS Institute, en el que se puede apreciar claramente lo sencillo que es el método.
El tutorial consta de las siguientes partes
1. Introducción
2. Herramientas necesarias
3. Preparación
4. El proceso de auditorÃa
5. Conclusiones
6. Referencias
En el apartado 4 se ejemplifican los puntos de análisis habituales que son:
- Análisis de robots.txt
- Cross-Site Scripting
- Inyección SQL
- Cookies y campos ocultos
- Sesiones
- Google Hacking
- Spidering
Localizar y arreglar vulnerabilidades no sirve de nada (si es lo único que hacemos)
Especial interés tiene para mà el final del artÃculo de SANS, que reproducimos a continuación:
We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.
Es crucial que los análisis que hagamos sean eso, cosas útiles. Parchear vulnerabilidades es una solución deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo único que aporta valor añadido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.
También muy acertado el comentario de que la mejor auditorÃa posible de un aplicativo Web es aquella en la que se analiza el código fuente.
Fuente: http://www.sahw.com/wp/
GRATIS – Plan de cyberseguridad para su empresa: 
Obtenga nuestro portfolio de servicios: 
Realiza su consulta cómo proteger su Negocio: 
Informe a sus colegas del area de tecnología
Comparte esta información con colegas y superiores
Guarda este post para consultas
Descargue las Tendencias de cyberseguridad: 
Suscribirse a nuestro canal de YouTube: 
Descargue nuestras infografías: 
Conozca la opinión de nuestros clientes: 
Acceda a Cursos Online de entrenamiento en seguridad informática: