¿Qué estamos probando durante una revisión de código de seguridad?
Las aplicaciones Web son un componente central para casi todas las empresas. Se utilizan por diversas razones y, muy a menudo, capturan, manejan, almacenan y transmiten datos sensibles (información comercial confidencial, datos de recursos humanos, información financiera, etc.). Nuestro equipo utiliza una metodología híbrida, compuesta de pruebas automatizadas y manuales, para evaluar el código fuente de sus aplicaciones Web Java, PHP y.NET con el fin de identificar las vulnerabilidades antes que los ciberdelincuentes. Nuestras evaluaciones también incluyen una fase de explotación, lo que permite a nuestros clientes comprender mejor los riesgos que plantea cada vulnerabilidad.
Nuestra revisión de código seguro cubre parcialmente las diez principales vulnerabilidades de OWASP y los 25 errores de software más peligrosos de CWE/SANS TOP 25. La siguiente es una lista no inclusiva de artículos que serán revisados:
Defectos de Inyección
Amenazas nacidas en la Web, como la inyección de SQL, la inyección de comandos del sistema operativo y la inyección de LDAP, que se producen cuando los datos suministrados por el usuario se envían a una aplicación Web como parte de un comando o una consulta. La carga útil maliciosa del atacante puede engañar a la aplicación web para que ejecute comandos no deseados o acceda a datos sin la debida autorización.
Cross Site Scripting (XSS)
Las vulnerabilidades XSS que se producen cuando una aplicación web acepta las entradas suministradas por el usuario en una página web sin la validación y el escape adecuados. El Cross Site Scripting permite a un atacante ejecutar scripts en el navegador de la víctima, lo que puede secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario a sitios maliciosos
Defectos en la Autenticación
Con frecuencia, la autenticación y la gestión de sesiones están diseñadas de forma incorrecta, lo que permite a los ciberdelincuentes poner en peligro las credenciales de usuario, las claves o los testigos de sesión, o aprovechar otros defectos para asumir las identidades de otros usuarios.
Exposición de Datos Sensibles
Muchas aplicaciones web y API no protegen adecuadamente la información confidencial, como números de tarjetas de crédito, credenciales de usuario, información de pacientes, etc. Los ciberdelincuentes pueden robar o suavizar estos datos débilmente protegidos para realizar fraudes con tarjetas de crédito, robo de identidad u otros delitos.
Entidades externas XML (XXE)
Numerosos analizadores XML heredados o mal configurados evalúan las referencias de entidades externas dentro de los documentos XML. Las entidades externas se pueden utilizar para revelar archivos internos utilizando el gestor de URI de archivos, los recursos compartidos de archivos internos, el análisis de puertos internos, la ejecución remota de códigos y los ataques de denegación de servicio
Defectos en el Control de Acceso
Las restricciones sobre lo que pueden hacer los usuarios autenticados a menudo no se aplican correctamente, lo que puede conducir a vulnerabilidades de escalamiento de privilegios horizontales y verticales. Los atacantes pueden explotar estos defectos para acceder a funciones e información no autorizadas, como acceder a las cuentas de otros usuarios, ver archivos confidenciales, modificar los datos de otros usuarios, cambiar los derechos de acceso, etc.
Solicita una cotización para Realizar el análisis de código
Usamos el poder de nuestra nube privada para realizar el análisis de código en el menor tiempo posible