Hacer auditorías Web no tiene ningún misterio. Basta con conocer los métodos, para después aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. Así, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.
Para comprobar que el método no tiene ningún misterio, os enlazo este tutorial de auditorías Web de SANS Institute, en el que se puede apreciar claramente lo sencillo que es el método.
El tutorial consta de las siguientes partes
1. Introducción
2. Herramientas necesarias
3. Preparación
4. El proceso de auditoría
5. Conclusiones
6. Referencias
En el apartado 4 se ejemplifican los puntos de análisis habituales que son:
- Análisis de robots.txt
- Cross-Site Scripting
- Inyección SQL
- Cookies y campos ocultos
- Sesiones
- Google Hacking
- Spidering
Localizar y arreglar vulnerabilidades no sirve de nada (si es lo único que hacemos)
Especial interés tiene para mí el final del artículo de SANS, que reproducimos a continuación:
We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.
Es crucial que los análisis que hagamos sean eso, cosas útiles. Parchear vulnerabilidades es una solución deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo único que aporta valor añadido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.
También muy acertado el comentario de que la mejor auditoría posible de un aplicativo Web es aquella en la que se analiza el código fuente.
Un saludo,
amigo, tengo un trabajo sobre auditoria web, pero me gustaria saber si existen Estandares (como las ISO’s), para hacer estas auditorias web, Soy de Perú.
de antemano gracias
Omar,
Aprobados a nivel ISO no, no los hay. Pero los hay muy completos, como OWASP o la Open Source Testing Methodology.
Échales un ojo, a ver que tal. Un saludo!
Groso…. tendras actualidad acerca del tema…