Test de Vulnerabilidades
Update: Abril 2021
​
​
En el marco del servicio de seguridad digital para empresas semilla correspondiente a 1 test de vulnerabilidades mensual a tu web o app.
​
El test se aplica a 1 url donde esté alojada la web o app. Con este test se encuentran las brechas más superficiales y típicas que un hacker encontraría atacando un sitio o App
Las herramientas en las que se apoya el equipo de seguridad para estos test son:
Estas nos ayudan a:
-
Manejar historiales para hacer el seguimiento a las vulnerabilidades encontradas en el sitio/app.
-
Actualizarnos automáticamente de plugins para actualizar base de vulnerabilidades y malwares
-
Escanear con algoritmos avanzados de crawling que simulan como un humano esquiva obstáculos de penetración.
-
Manejar contenido dinámico, analizar aún con conexión a internet inestable, diferentes tipos de API y la mayoría de aplicaciones web, incluyendo aplicaciones one-page con elementos de HTML5 y JavaScript.
-
Utilizar una tecnología mixta diseñada para minimizar el ratio señal-a-ruido de falsos positivos y maximizar cobertura. En particular el test OAST produce un ratio bajísimo de falsos positivos a la vez que abre ampliamente el tipo de vulnerabilidades que encuentra.
-
Utilizar la tecnología location fingerprint para evitar cuellos de botella y así disminuir dramáticamente la cantidad de request en la ejecución del scanner.
-
Identificar interacciones entre el objetivo y servidores externos que permite encontrar bugs invisibles para escaners convencionales incluyendo inyecciones SQL asíncrona y SSRF ciegos.
-
Detectar vulnerabilidades que incluyen inyecciones SQ, XSS, errores de configuración, contraseñas débiles, bases de datos expuestas y vulnerabilidades fuera de banda tales como:
-
Inyección ciega de XML/SOAP del lado del servidor
-
XSS ciego (XSS retrasado)
-
Ataque a la cabecera del host
-
Ejecución remota de código Out-of-Band (OOB RCE)
-
Inyección SQL Out-of-Band (OOB SQLi)
-
Inyección de la cabecera del correo electrónico
-
Falsificación de solicitudes del lado del servidor (SSRF)
-
Inyección de entidad externa XML (XXE)
-
Inyección de código OS: OOB
-
XXE: Out-of-Band.
​
Con las vulnerabilidades encontradas se elaboran informes mensuales con recomendaciones para que mitiges el máximo de brechas encontradas.
​
Para cualquier consulta escríbenos a somos@unitti.com o agenda una reunión