Test de Vulnerabilidades

 

Update: Abril 2021

 

En el marco del servicio de seguridad digital para empresas semilla correspondiente a 1 test de vulnerabilidades mensual a tu web o app.

El test se aplica a 1 url donde esté alojada la web o app. Con este test se encuentran las brechas más superficiales y típicas que un hacker encontraría atacando un sitio o App 

 

Las herramientas en las que se apoya el equipo de seguridad para estos test son:

 

Burp Suite

Nessus

Acunetix

 

Estas nos ayudan a:

 

  • Manejar historiales para hacer el seguimiento a las vulnerabilidades encontradas en el sitio/app.

  • Actualizarnos automáticamente de plugins para actualizar base de vulnerabilidades y malwares

  • Escanear con algoritmos avanzados de crawling que simulan como un humano esquiva obstáculos de penetración.

  • Manejar contenido dinámico, analizar aún con conexión a internet inestable, diferentes tipos de API y la mayoría de aplicaciones web, incluyendo aplicaciones one-page con elementos de HTML5 y JavaScript.

  • Utilizar una tecnología mixta diseñada para minimizar el ratio señal-a-ruido de falsos positivos y maximizar cobertura. En particular el test OAST produce un ratio bajísimo de falsos positivos a la vez que abre ampliamente el tipo de vulnerabilidades que encuentra.

  • Utilizar la tecnología location fingerprint para evitar cuellos de botella y así disminuir dramáticamente la cantidad de request en la ejecución del scanner.

  • Identificar interacciones entre el objetivo y servidores externos que permite encontrar bugs invisibles para escaners convencionales incluyendo inyecciones SQL asíncrona y SSRF ciegos.

  • Detectar vulnerabilidades que incluyen inyecciones SQ, XSS, errores de configuración, contraseñas débiles, bases de datos expuestas y vulnerabilidades fuera de banda tales como:

 

  • Inyección ciega de XML/SOAP del lado del servidor

  • XSS ciego (XSS retrasado)

  • Ataque a la cabecera del host 

  • Ejecución remota de código Out-of-Band (OOB RCE) 

  • Inyección SQL Out-of-Band (OOB SQLi) 

  • Inyección de la cabecera del correo electrónico

  • Falsificación de solicitudes del lado del servidor (SSRF) 

  • Inyección de entidad externa XML (XXE) 

  • Inyección de código OS: OOB 

  • XXE: Out-of-Band.

Con las vulnerabilidades encontradas se elaboran informes mensuales con recomendaciones para que mitiges el máximo de brechas encontradas.

Para cualquier consulta escríbenos a somos@unitti.com o agenda una reunión