Protección WEB

El servicio de protección WEB es una Tecnología de ciberseguridad proactiva que garantiza la integridad, la seguridad, la disponibilidad y la conformidad normativa de sitios y aplicaciones web.

Gracias a su tecnología hace posible analizar todo tipo de aplicaciones, poco importa su complejidad, usted elige la cantidad de análisis y el periodo de tiempo por el cual lo quiera realizar, obteniendo en su correo un reporte de fallos, correctivos y recomendaciones; además de monitoreo las 24 horas del día y soporte técnico.

Nuestro servicio es un gran aliado y complemento de su ciberseguridad cotidiana, ahorrando en personal, procesos y recursos adicionales;

¡ Deje este trabajo en nuestras manos !

Seguridad e Integridad que protegen de los ciber-riesgos

Evita la mala reputación en línea y el blacklisting

Previene del Hackeo, robo de datos, intrusiones, escalada de privilegios, defacement

Impide la utilización de fallas de seguridad y vulnerabilidades por atacantes o ataques masivos

Detiene la propagación de Malwares, Virus, código o archivos dañinos

Disponibilidad aplicativa y conformidad inmediata

Notificamos la Indisponibilidad y los tiempos de respuesta, interrupción de servicios, crash del servidor

Evita la perdida del volumen de ventas debido a pedidos y requisiciones congeladas por fallas técnicas

Cumple las normas, reglas y mejores Practicas de la ciberseguridad: GDPR, ISO, PCI...

Competitividad y Fiabilidad dentro de la organización

Convertimos la ciberseguridad en una herramienta de trabajo

Te ayudamos a optimizar la implementación de correctivos gracias a la gestión de riesgos automática

Implementa un control continuo pedagógicamente

Examinamos la totalidad de scripts y aplicaciones

Librerías JavaScript, Contenido Dinámico, Firmas Aplicativas PDF, Framework CMS, código, Web server, Base de Datos, Sistemas Operativos , Puertos Abiertos, banners, imágenes, Web archives, código evolutivo, etc.

Protegemos completamente contra los ciberataques más críticos

A través de auditorias automáticas en black box y grey box, se detectan problemas de seguridad más comunes
CVE
Zero Day
URL rewriting
Privileges Escalations
Authentication bypass
Brute Force
Back Doors
Advanced Persistent Threats

También contra los ciber ataques más comunes

TOP 10 OWASP y más, errores de configuración software, fallos aplicativos y de red
*** click para ver descripción
XSS
Cross Site Scripting

XSS, del inglés Cross-site scripting es un tipo de inseguridad informática o agujero de seguridad típico de las aplicaciones Web, que permite a una tercera persona inyectar en páginas web visitadas por el usuario código JavaScript o en otro lenguaje similar (ej: VBScript), evitando medidas de control como la Política del mismo origen.
CSRF
Cross Site Request Forgery

El CSRF (del inglés Cross-site request forgery o falsificación de petición en sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil, ataque de un click, cabalgamiento de sesión, y ataque automático.
SSRF
Server Side Request Forgery

Este tipo de vulnerabilidades se da cuando un atacante tiene la habilidad de hacer que el servidor objetivo inicie una nueva conexión contra otro equipo, independientemente de si al equipo remoto al que se conecta se encuentra dentro o fuera de su red interna.
XXE
XML External Entity Attack

Un ataque de entidades externas XML es un tipo de ataque contra una aplicación que analiza la entrada XML. Este ataque se produce cuando la entrada XML que contiene una referencia a una entidad externa es procesado por un intérprete XML débilmente configurado. Este ataque puede conducir a la divulgación de datos confidenciales, denegación de servicio, servidor de peticiones de lado la falsificación, el escaneo de puertos desde la perspectiva de la máquina donde se encuentra el analizador, y otros impactos del sistema.
SQLI
SQL Injection

SQL Injection es una vulnerabilidad que permite a un atacante realizar consultas a una base de datos, se vale de un incorrecto filtrado de la información que se pasa a través de los campos y/o variables que usa un sitio web, es por lo general usada para extraer credenciales y realizar accesos ilegítimos, práctica un tanto neófita, ya que un fallo de este tipo puede llegar a permitir ejecución de comandos en el servidor, subida y lectura de archivos, o peor aún, la alteración total de los datos almacenados.
TRV
Directory Traversal

Un directory traversal (o path traversal) consiste en explotar una vulnerabilidad informática que ocurre cuando no existe suficiente seguridad en cuanto a la validación de un usuario, permitiéndole acceder a cualquier tipo de directorio superior (padre) sin ningún control.La finalidad de este ataque es ordenar a la aplicación a acceder a un archivo al que no debería poder acceder o no debería ser accesible. Este ataque se basa en la falta de seguridad en el código. El software está actuando exactamente como debe actuar y en este caso el atacante no está aprovechando un bug en el código.
LFI
Local File Inclusion

Local File Inclusion, se trata de la inclusion de ficheros locales, es decir, ficheros que se encuentran en el mismo servidor de la web con este tipo de fallo, a diferencia de Remote File Inclusion que incluye ficheros alojados en otros servidores.
Es consecuencia de un fallo en la programacion de la página, mal filtrado de los que se incluye al usar funciones en PHP para incluir archivos.
RFI
Remote File Inclusion

RFI (Remote File Inclusion), traducido al español como Inclusión Remota de Archivos - vulnerabilidad existente solamente en páginas dinámicas en PHP que permite el enlace de archivos remotos situados en otros servidores a causa de una mala programación de la página que contiene la función include().Este tipo de vulnerabilidad no se da en páginas programadas en ASP o en cualquier otro tipo de lenguaje similar que no contenga la posibilidad de la inclusión remota de archivos ajenos al servidor.
PCI
PHP Code Injection

Código de inyección es el término general para los tipos de ataques que consisten en inyectar código que se interpreta y es ejecutado por la aplicación. Este tipo de ataque explota la mala manipulación de datos no confiables. Estos tipos de ataques se hacen generalmente posible debido a la falta de una adecuada validación de datos de entrada / salida
SCI
Shell Code Injection

Se llama "código shell", ya que normalmente se inicia un intérprete de comandos de la que el atacante puede controlar la máquina comprometida.
AC
AutoComplete Form Password

Tener las contraseñas de almacenamiento navegador no es sólo una conveniencia para los usuarios finales, sino también para un atacante. Si un atacante puede obtener acceso al navegador de la víctima (por ejemplo, a través de un ataque XSS, o por medio de un ordenador compartido), entonces pueden recuperar las contraseñas almacenadas. No es raro que los navegadores para almacenar las contraseñas en una forma fácilmente recuperable, pero incluso si el navegador eran para almacenar las contraseñas cifradas y sólo se puede recuperar mediante el uso de una contraseña maestra, un atacante podría recuperar la contraseña a través de la aplicación web de destino formulario de autenticación, entrando nombre de usuario de la víctima, y dejar que el navegador para introducir la contraseña.
CTP
Clear Text Password

Un "contraseña en texto claro" es un problema común en la seguridad de transferencia de archivos. Es un problema peligroso porque expone credenciales que permiten a los individuos no autorizados a actuar con la identidad y el permiso de los individuos y los sistemas de confianza.
DI
Directory Indexing / Listing

La mala configuración de un servidor web puede permitir ver el contenido de un directorio sin que esta sea una funcionalidad necesaria en el sitio web; dejando al descubierto un directorio puede permitir al atacante hacerse de importante información de las organizaciones.

TOP 10 OWASP

Detección de errores de acuerdo a la guía internacional de OWASP

SERVICIOS DE ACUERDO A SUS NECESIDADES

* El tipo de servicio lo determina la complejidad del sistema

Cada sitio es diferente por ello es necesario realizar una evaluación previa para determinar el volumen y la complejidad del mismo; tomando en consideración estos factores el servicio puede ser considerado en 4 niveles diferentes : Mini, Small, Medium o Maxi

Y para todos realizamos:

  • Detección de todo tipo de vulnerabilidad
  • Sello de protección Pentesting
  • Emisión de reporte de fallos y recomendaciones
  • Monitoreo
  • Soporte Técnico

Solicite una cotización

Enlaces de interés

                

Nosotros

Somos la organización 100% MEXICANA encargada de asesorar a las organizaciones en el ámbito de
seguridad de la información.

AVISO DE PRIVACIDAD

Contacto

email: [email protected]

Ciudad de México, 06700

Calle Zacatecas, Colonia Roma Norte 24

México, CDMX

Centro de Capacitación