¿Por qué realizar Pruebas de Ethical Hacking?


Ethical Hacking

¿Por qué realizar Pruebas de Ethical Hacking?

Los atacantes (Hackers, usuarios malintencionados), pueden descubrir y explotar vulnerabilidades de aplicaciones web y causar daño al negocio o la organización.
Las pruebas de seguridad (Análisis de vulnerabilidades) se deben desarrollar basándose en las directrices de codificación segura y las mejores prácticas de la industria. Estas pruebas nos ayudarán a identificar y/o prevenir la explotación de las vulnerabilidades de codificación más comunes en los procesos de desarrollo de software. Otro tema fundamental es el cumplimiento con los requerimientos de las normas de la industria, como son; Payment Card Industry Data Security Standard (PCI DSS), OWASP Top 10, ISO 17799, ISO 27001, entre otras.

 

¿Cuándo realizar las pruebas de Ethical Hacking?

Uno de los mejores métodos para evitar la aparición de bugs (defectos), vulnerabilidades o brechas de seguridad en aplicaciones en producción, es mejorar el Ciclo de Vida de Desarrollo del Software, incluyendo la seguridad. La organización debería incorporar a su SDLC la seguridad como parte integral del proceso de desarrollo.
Todas las modificaciones, cambios o nuevos realces desarrollados que generan un impacto funcional en las aplicaciones Web, son candidatas a realizar pruebas de seguridad a través de un análisis de vulnerabilidades, según establezca la definición de política y/o normativa interna, como por ejemplo la normativa PCI DSS (Payment Card Industry Data Security Standard o Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago).

 

Alcance de las Pruebas de Ethical Hacking

Detectar y analizar las potenciales vulnerabilidades de seguridad a las que podrían estar expuestas las aplicaciones web y su respectiva plataforma, a nivel de Servidores de aplicaciones, Seguridad Perimetral de Networking; Firewalls, Protección contra ataques externos, Control de cuentas de usuarios, Sistemas de Detección de Intrusos.El nivel de seguridad de la aplicación Web.

Metodología Análisis de Vulnerabilidades.

Las siguientes son las Fases secuenciadas de seguridad para analizar vulnerabilidades:

– Planificación: (Identificación de escenarios de Pruebas, plataforma, riesgos)
– Implementación de herramientas: (Instalación, configuración y parametrización)
– Ejecución de las pruebas: (Supervisión de Escaneo)
– Análisis de resultados: (Revisión de resultados obtenidos en el escaneo)
– Informe: (Presentación de las vulnerabilidades, con las recomendaciones de mitigación)

Los vectores de ataque se realizarán en la plataforma de las aplicaciones web, canal de comunicación e Infraestructura del lado del servidor. Según se describe en figura N° 1.

 

Vectores de Ataque

1. Scan Servidores y Networking

2. Distributed Denial of Service (DDos)

  • Ataque de inundación de SYN (SYN Flood)
  •  Ataque de inundación de buffer (Buffer Overflow)
  • Ataque WEB distribuido con múltiples conexiones (Solicitudes HTTP/HTTPs).

3. Ejecución de Exploits Web

  •  SQL Injection.
  • Broken Authentication and Session Management.
  • Cross-Site Scripting (XSS).
  • Insecure Direct Object References.
  • Sensitive Data Exposure.
  • Function Level Access Control.
  • Cross-Site Request Forgery (CSRF).
  • Unvalidated Redirects and Forwards.
  • Cross-Site Request Forgery (CSRF).
  • Security Misconfiguration.
  • Insecure Cryptographic Storage.
  • Failure to Restrict URL Access.
  • Insufficient Transport Layer Protection.