PENTESTING EN APLICACIONES MÓVILES Y WEB

¿Cómo funciona ?

La forma de realizar el análisis de sus aplicaciones web o móviles consta de 3 pasos básicos que a continuación se muestran.

PASO 1

Nuestros clientes indican la ubicación del portal o página web, si se trata de una aplicación aún en fase de pre-liberación se proporciona un acceso a la misma; para aplicaciones móviles iOS o Android se indica el nombre en la respectiva Store o bien se envía la aplicación para realizar la prueba en laboratorio.

PASO 2

Realizamos una auditoría a las aplicaciones móviles, sitios web o servicios web que el cliente tenga en operación o este en proceso de liberación; el análisis lo realizamos bajo la metodología OWASP de acuerdo al alcance y necesidades de nuestros clientes.

PASO 3

Al finalizar se entrega un reporte con los fallos encontrados, acompañado de un reporte CVSS ( calificación e impacto del fallo) así como las recomendaciones correspondientes; si el cliente lo considera necesario se realiza una segunda prueba una vez atendidas las observaciones.

PRUEBAS QUE SE REALIZAN

A continuación de listan las pruebas a las que son sometidas las aplicaciones auditadas de nuestros clientes


Recopilación de información

En esta fase se realizan pruebas de reconocimiento , reconocimiento al servidor, metarchivos, enumeración de aplicaciones identificación de puntos de entrada de la aplicación, mapeo de rutas, mapa de arquitectura, entre otras

Proceso de autenticación

Esta es una de las fases más importantes ya que entre otras se realiza la revisión de credenciales predeterminadas, bloqueo , bypass de autenticación, proceso de recordatorio de contraseña, pruebas de cache, fortaleza de contraseñas, recuperación de contraseñas, y 7 validaciones más

Pruebas de validación

Pruebas de Cross Site Scripting Reflejado, Cross Site Scripting almacenado, manipulación de archivos, SQL Injection, pruebas LDAP, XML, Xpath, IMAP/SMTP, inclusión de archivos locales, inclusión de archivos remotos, desbordamiento de buffer y 7 pruebas más

Configuración y pruebas de despligue

Entre otras se revisa la prueba de configuración de respuesta, extensiones de archivo, revisión de contenido antiguo u oculto, métodos http, pruebas de http scritct transport security, pruebas de políticas de dominio, entre otras

Pruebas de autorización

Pruebas de recorrido en directorio, realización de bypass a esquema de autorización, escalamiento de privilegios, pruebas de inseguridad de referencias a objetos directos

Control de errores

Análisis de código de errores, verificación de errores por default, errores de programación, errores de despliegue, entre otros

Gestión de indentidad

En esta fase se realiza una esquema de definición de pruebas de identidad de la aplicación, pruebas del proceso de registro de usuarios, aprovisionamiento de cuentas, enumeración de cuentas, usuarios por default, políticas de asignación

Pruebas del lado del cliente

Pruebas de DOM basado en Cross Site Scripting, ejecución de código malicioso JavaScript, inyección de código HTML, redireccionamiento a sitios maliciosos, inyección de CSS, pruebas de manipulación, pruebas de Cross Site FLASH, clickjacking, websockets, entre otros

Gestión de sesiones

Verificación de omisión de sesiones, atributos de cookies, fijación de sesión, variables de sesiones, pruebas de Cross Site Request, funcionalidad en cierre de sesión, espera de sesión, sesión aleatoria y cifrado

Cifrado de aplicación

Pruebas de cifrado y transporte de datos por canal seguro, validación para suplaantación de ssl, prueba de relleno, validación de envío de información por canales nos cifrados

Enlaces de interés

                

Nosotros

Somos la organización 100% MEXICANA encargada de asesorar a las organizaciones en el ámbito de
seguridad de la información.

AVISO DE PRIVACIDAD

Contacto

email: [email protected]

Ciudad de México, 06700

Calle Zacatecas, Colonia Roma Norte 24

México, CDMX

Centro de Capacitación