Tests de Penetración

Evaluación de vulnerabilidades de aplicaciones web

El campo de seguridad de la información es amplio y complejo y cada área de trabajo requiere mucha experiencia y un gran esfuerzo para mantenerse actualizado con los cambios y avances tecnológicos.

Nuestra división seguridad, llamada GreenSecurity, está enfocada en la seguridad de aplicaciones web y nuestros esfuerzos están relacionados con las técnicas y tecnologías involucradas en el proceso de desarrollo más seguro posible.

Llevamos a cabo servicios de Tests de Penetración de aplicaciones web para examinar los riesgos y vulnerabilidades presentes en las aplicaciones web de su compañía. Nuestros servicios incluyen un reporte completo sobre las vulnerabilidades identificadas, el nivel de riesgo de las mismas y el plan de remediación más apropiado.

Nuestro estilo de trabajo mezcla lo mejor de ambos mundos, usamos las más sofisticadas herramientas automáticas, pero también invertimos todo el tiempo necesario en la revisión manual y artesanal de todos los posibles agujeros de seguridad que no pueden ser detectados por las herramientas automáticas.

Enfocamos nuestro trabajo en la detección de las piezas de su arquitectura, como web servers, frameworks de programación, web applications firewalls, lenguajes de programación, bases de datos y demás y vamos más allá de las OWASP Top Ten Vulnerabilities.

Para cada vulnerabilidad detectada, explotamos la misma y mostramos los riesgos asociados.

Las vulnerabilidades más comunes para este tipo de tests, de acuerdo al ránking OWASP son (en inglés para mejor comprensión):

  • SQL Injection
  • Cross-Site Scripting (XSS)
  • Broken Authentication and Session Management
  • Insecure Direct Object References
  • Cross-Site Request Forgery (CSRF)
  • Security Misconfiguration
  • Insecure Cryptographic Storage
  • Failure to Restrict URL Access
  • Insufficient Transport Layer Protection
  • Unvalidated Redirects and Forwards

Nuestros reportes incluyen Identificación de Vulnerabilidades, Evaluación de Impacto, Referencias, Pruebas de Explotación, Planes de Remediación y un Sumario Ejecutivo, como se muestra en los siguientes ejemplos:

Luego de realizado el Test de Penetración podemos acompañar a su Team de Desarrollo en la implementación de las remediaciones recomendadas así como en la adopción de prácticas de desarrollo seguro.

Otras áreas de seguridad donde ofrecemos servicios son:

  • Criptografía
  • Evaluaciones de riesgos en reades LAN & WAN 
  • Entrenamiento en Seguridad de la Información