Hacking Ético II

juillet 13, 2015

Hacking Ético II

En esta segunda entrega del curso de Hacking Ético que he realizado quiero hacer hincapié en el módulo de Aplicaciones Web, que desde mi punto de vista es uno de los más interesantes debido a que el auge del Cloud Computing está haciendo que proliferen las aplicaciones web en la nube, obviando e ignorando muchas veces los riesgos de seguridad a los que estamos expuestos si no se sigue el ciclo de vida de desarrollo seguro de aplicaciones (SSDLC).

En esta entrada voy a describir los distintos tipos de herramientas de análisis que podemos utilizar en la fase de Testing del SSDLC para detectar malas prácticas de desarrollo, fallos de configuración y vulnerabilidades de aplicaciones, siendo estas aplicaciones cada vez más demandadas y utilizadas por las compañías para saber y conocer qué problemas de seguridad tienen sus aplicaciones, y así poder mejorarlas.

Herramientas de Análisis Estático de Código Fuente (SAST): Son herramientas de caja blanca que realizan un análisis muy completo de toda la aplicación, que analizando el código fuente simulan lo que ocurriría en tiempo de ejecución. Ejemplos de estas herramientas son Insight, Fortify SCA o Cx-suite de Checkmarx.

Static Analysis Security Tools

Herramientas de Análisis en Tiempo Real de Ejecución (RAST): Son herramientas de caja blanca que se utilizan en tiempo real de ejecución inmersas en el servidor de aplicaciones inspeccionando el entorno de ejecución de los procesos. A diferencia de SAST, la tecnología RAST abarca una mayor superficie de análisis al ser capaz de identificar, localizar, organizar y categorizar la criticidad de las vulnerabilidades del código en tiempo real mientras se ejecuta la aplicación, por tanto se identifican más vulnerabilidades y su análisis es más acertado. Ejemplos de estas herramientas son Acunetix+Acusensor, Fortify Runtime Analysis o Appscan+Glassbox.

Real Time Analysis Security Tools

Herramientas de Análisis Dinámico (DAST): Son herramientas de caja negra que utilizaremos cuando no disponemos del código fuente de la aplicación. Estos escáneres de vulnerabilidades de aplicaciones web lanzarán peticiones malignas contra los servicios webs con la intención de descubrir todas las vulnerabilidades posibles analizando las respuestas de las aplicaciones, para ello conforma y adapta las peticiones abarcando todas las entradas posibles de las aplicaciones. Ejemplos de estas herramientas son Webinspect, Paros o Cenciz.

Dynamic Analysis Security Tools

Si no desarrollamos las aplicaciones web siguiendo el ciclo SSDLC y tampoco probamos, o queremos saber, las vulnerabilidades y problemas que tenemos en nuestro código, estaremos poniéndoselo fácil a los atacantes para que nos saquen los ~~colores~~ datos mediante XSS, CSRF, SQLi, etc

Un saludo amigos y recuerda, la concienciación en seguridad es nuestro mejor aliado!!

Rechercher dans ce blog

David Romero Trejo

Hacking Ético II

Commentaires

Enregistrer un commentaire

Articles les plus consultés

Improving SSL VPN performance with DTLS

HSRP, VRRP o GLBP

Checksum

Decrypting DTLS traffic with Wireshark

Metodología de redes (FCAPS)

Two FortiGates in a VRRP domain

DNS Load Balancing

MLAG vs vPC vs Stacking

Balanceadores de Carga

Linux Buffer Overflow Example