PENTESTING EN APLICACIONES MÓVILES Y WEB
Nuestros análisis los realizamos en modalidades SAST o DAST bajo diferentes metodologías incluyendo OWASP. La forma de realizar el análisis de sus aplicaciones web o móviles consta de 3 pasos básicos
PASO 1
Nuestros clientes indican la ubicación del portal o página web, si se trata de una aplicación aún en fase de pre-liberación se proporciona un acceso a la misma; para aplicaciones móviles iOS o Android se indica el nombre en la respectiva Store o bien se envía la aplicación para realizar la prueba en laboratorio.
PASO 2
Realizamos una auditoría a las aplicaciones móviles, sitios web o servicios web que el cliente tenga en operación o este en proceso de liberación; el análisis lo realizamos bajo la metodología OWASP de acuerdo al alcance y necesidades de nuestros clientes.
PASO 3
Al finalizar se entrega un reporte con los fallos encontrados, acompañado de un reporte CVSS ( calificación e impacto del fallo) así como las recomendaciones correspondientes; si el cliente lo considera necesario se realiza una segunda prueba una vez atendidas las observaciones.
Examinamos la totalidad de scripts y aplicaciones
Librerías JavaScript, Contenido Dinámico, Firmas Aplicativas PDF, Framework CMS, código, Web server, Base de Datos, Sistemas Operativos , Puertos Abiertos, banners, imágenes, Web archives, código evolutivo, etc.
Identificamos las vulnerabilidades más recurrentes
TOP 10 OWASP y más, errores de configuración software, fallos aplicativos y de red
*** click para ver descripción
XSS
Cross Site Scripting
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
CSRF
SSRF
XXE
SQLI
TRV
LFI
RFI
PCI
SCI
AC
CTP
DI
TOP 10 OWASP
Detección de errores de acuerdo a la guía internacional de OWASP
ANÁLISIS DE ACUERDO A LOS REQUERIMIENTOS DE LA EMPRESA
* El tipo de servicio lo determina la complejidad del sistema
Cada sitio es diferente por ello es necesario realizar una evaluación previa para determinar el volumen y la complejidad del mismo; tomando en consideración estos factores el servicio puede ser considerado en 4 niveles diferentes : Mini, Small, Medium o Maxi
Y para todos realizamos:
- Detección de todo tipo de vulnerabilidad
- Sello de protección Pentesting
- Emisión de reporte de fallos y recomendaciones
- Monitoreo
- Soporte Técnico
Y LAS MODALIDADES DE ANÁLISIS SE PUEDEN REALIZAR EN MODO DAST O SAST
