menu close NoticiasContáctenos search close
Global Site close
  • Americas
  • Asia Pacific
  • Europe
  • Middle East and Africa
ArgentinaArubaBahamasBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoDominican RepublicEcuadorEl SalvadorGuatemalaHondurasMexicoPanamaParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AfghanistanAustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNepalNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanLatviaLiechtensteinLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaAngolaBahrainCôte d’IvoireEgyptGhanaIraqJordanKenyaKuwaitLebanonLiberiaMaliMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemenZimbabwe
Spanish
Spanish
Servicios
close Servicios
RPA
Servicios
Conózcanos
close Conózcanos
Conózcanos
Carrera
NoticiasContáctenos
search close
home Servicios Ciberseguridad
Manos 9

Auditoría de Seguridad Web OWASP

Garantizar que la revisión de la plataforma se realiza de forma adecuada, garantizando que todos los vectores de ataque han sido analizados y que los fallos de seguridad han sido detectados.

OWASP (Open Web Application Security Project) es una metodología de seguridad de auditoría web, abierta y colaborativa, orientada al análisis de seguridad de aplicaciones Web, y usada como referente en auditorías de seguridad. Nos apoyamos en la metodología de auditoría OWASP en todos nuestros trabajos de auditoría de seguridad web para analizar y evaluar los riesgos.

La revisión de los controles, definidos por esta metodología, permite al equipo de auditores garantizar que una revisión de la plataforma se realiza de forma adecuada, garantizando que todos los vectores de ataque han sido analizados y que los fallos de seguridad han sido detectados. Este proceso ayuda a mejorar la seguridad y la protección de los sistemas informáticos de nuestros clientes.

Auditoría Web – Enfoque de análisis de seguridad

Existen dos modalidades principales de revisión de seguridad basada en OWASP 2017.

  • Auditoría OWASP TOP 10: El enfoque de un trabajo de auditoría web de estas características es revisar una aplicación en busca de las debilidades más habituales y que tienen un impacto mayor en la seguridad de un sistema.
  • A1: Inyección
  • A2: Pérdida de autenticación y gestión de sesiones
  • A3: Exposición de datos sensibles
  • A4: Entidad externa de XML (XXE)
  • A5: Control de acceso inseguro
  • A6: Configuración de seguridad incorrecta
  • A7: Cross site scripting (XSS)
  • A8: Deserialización insegura
  • A9: Uso de componentes con vulnerabilidades Conocidas
  • A10: Monitorización y registro insuficiente

Una auditoría web en la que se evalúan los controles del TOP 10 de OWASP es la recomendable cuando se estudia la seguridad de una aplicación web por primera vez o cuando la seguridad de este entorno no es crítica para la empresa. Ofrece una buen equilibrio en cuanto a esfuerzo, costes y resultados.

  • Auditoría OWASP completa: El objetivo en una revisión de seguridad web completa, que se apoya en la metodología OWASP, es validar los 90 controles definidos por la metodología, haciendo especial hincapié en errores relacionados con lógica de negocio. Es el enfoque ideal cuando la criticidad de una plataforma es elevada, y ayuda a blindar un sistema frente a ataques informáticos.

Técnicas de Auditoría Web

Las revisiones de seguridad de una aplicación Web se pueden realizar tanto de forma automática, mediante el uso de herramientas comerciales, como mediante un análisis manual de cada uno de los módulos de la aplicación.

Nos apoyamos en ambas técnicas de auditoría web, dedicando un mayor esfuerzo en el estudio manual de seguridad web, de cara a identificar errores relacionados con lógica de negocio y fallos de seguridad que no pueden ser encontrados mediante el uso de herramientas automáticas.

Además, las aplicaciones web pueden ser analizadas desde dos perspectivas distintas:

  • Caja negra: Sin conocimiento de la infraestructura, sin usuarios y con una revisión de seguridad centrada en el análisis de las áreas accesibles de forma anónima.
  • Caja blanca: Revisión con mayor profundidad, para la que ya existe un mayor nivel de conocimiento de la plataforma, así como usuarios de acceso para interactuar con el área privada.