Tests de Penetración

También llamado Blackbox testing (o testeo de caja negra) donde la idea es testear el sitio web o la aplicación expuesta exactamente como lo haría un usuario malintencionado.

Usando una combinación de herramientas automáticas y manuales podemos asegurar la máxima cobertura y brindamos precisas indicaciones sobre qué cosas se necesitan solucionar para tener una máxima seguridad.

Esta es una opción interesante cuando no se puede proveer acceso al código fuente por distintos motivos (derechos de propiedad, políticas de la empresa, etc). Obviamente que si en combinación con lo anterior se puede revisar el código fuente, se obtienen los mejores resultados.

Evaluación de vulnerabilidades de aplicaciones web, desktop y móviles

El campo de seguridad de la información es amplio y complejo y cada área de trabajo requiere mucha experiencia y un gran esfuerzo para mantenerse actualizado con los cambios y avances tecnológicos.

En Arduino Security estamos totalmente enfocados en la seguridad de aplicaciones e infraestructura y nuestros esfuerzos están relacionados con las técnicas y tecnologías involucradas en el proceso de desarrollo más seguro posible.

Llevamos a cabo servicios de Tests de Penetración de aplicaciones para examinar los riesgos y vulnerabilidades presentes en las aplicaciones de su compañía. Nuestros servicios incluyen un reporte completo sobre las vulnerabilidades identificadas, el nivel de riesgo de las mismas y el plan de remediación más apropiado.

Nuestro estilo de trabajo mezcla lo mejor de ambos mundos, usamos las más sofisticadas herramientas automáticas, pero también invertimos todo el tiempo necesario en la revisión manual y artesanal de todos los posibles agujeros de seguridad que no pueden ser detectados por las herramientas automáticas.

Enfocamos nuestro trabajo en la detección de las piezas de su arquitectura, como web servers, frameworks de programación, web applications firewalls, lenguajes de programación, bases de datos y demás y vamos más allá de las OWASP Top Ten Vulnerabilities.

Para cada vulnerabilidad detectada, explotamos la misma y mostramos los riesgos asociados.

Las vulnerabilidades más comunes para este tipo de tests, de acuerdo al ránking OWASP son (en inglés para mejor comprensión):

  • SQL Injection
  • Cross-Site Scripting (XSS)
  • Broken Authentication and Session Management
  • Insecure Direct Object References
  • Cross-Site Request Forgery (CSRF)
  • Security Misconfiguration
  • Insecure Cryptographic Storage
  • Failure to Restrict URL Access
  • Insufficient Transport Layer Protection
  • Unvalidated Redirects and Forwards

Nuestros reportes incluyen Identificación de Vulnerabilidades, Evaluación de Impacto, Referencias, Pruebas de Explotación, Planes de Remediación y un Sumario Ejecutivo, como se muestra en los siguientes ejemplos:

Luego de realizado el Test de Penetración podemos acompañar a su Team de Desarrollo en la implementación de las remediaciones recomendadas así como en la adopción de prácticas de desarrollo seguro.

Trabajamos tanto para clientes de habla hispana como inglesa.