Auditoria d'Aplicació

Les empreses normalment inclouen en el seu site web, petites aplicacions (Applets, CGIs, ActiveX, etc.) que ajuden a gestionar les dades enviades pels usuaris (dades personals, comandes, pagaments online, control d'accés, etc.). Existeixen altres empreses que utilitzen el seu site web per a realitzar una gran varietat d'operacions amb els seus clients/proveïdors/personal (p.e. portals corporatius, brokers/banking online, e-commerce, extranets, etc.) i això implica l'utilització d'una complexa aplicació que s'executa en el servidor Web o d'aplicacions i que gestiona totes aquestes operacions.

Per això Internet Security Auditors ofereix un servei per a poder analitzar de forma específica aquestes aplicacions, independent i exhaustiva.

Característiques del Servei

El projecte d'Auditoria d'Aplicació està planificat (com qualsevol projecte informàtic) en les següents fases:

  • Anàlisi Funcional: Es realitza un estudi general de l'aplicació adquirint una visió global de les funcionalitats que proporciona.
  • Anàlisi Tècnic: Es porta a terme un estudi dels mòduls que composen l'aplicació determinant com interactuen entre ells (p.e. objectes distribuïts entre diferents servidors, etc.) i destacant les entrades i sortides del sistema que poden ser visibles des de Internet.
  • Disseny de les proves: Es determinen les proves a realitzar i es dissenya cada una d'elles.
  • Desenvolupament de les proves: Fase en que es programen les proves a realitzar (p.e. scripts que exploten buffers overflows en els CGIs que tracten les dades d'entrada, etc.).
  • Realització de les proves: Durant aquesta fase, tal com indica el seu nom, es porten a terme totes les proves dels sistemes, prenent nota del seu resultat i en cas d'obtenir noves possibles debilitats es retorna a la fase de disseny per intentar explotar-les.

Àmbit de les probes

La metodologia creada per Internet Security Auditors ens permet realitzar una exhaustiva revisió de les aplicacions auditades desenvolupant els següents aspectes de seguretat:

  • Validació d'entrades: Injecció del codi maliciós provocant que quan un servidor doni aquesta página, el client web que la carregui executi el codi maliciós en el client; creació i alteració de comandaments SQL, execució de comandaments del sistema operatiu, execució de comandaments i observació de dades que no es trobin als directius permessos; i utilització del byte nul que pot utilizarse amb la finalitat d'alterar els paràmetres d'una URL.
  • Canonicalizació d'URLs: Atacs que exploten la capacitat d'emmagatzemar caràcters amb múltiples bytes de la codificació Unicode i altres codificacions que permeten ocultar accions i atacs que utilitzin diferents possibilitats de codificació de URLs que acepten els servidors web.
  • Manipulació de paràmetres: Atacs de modificació de dades enviades entre el client i l'aplicació web en les capçaleres HTTP; peticions d'URLs, camps de formularis i cookies.
  • Autenticació i Gestió de Sesions: Búsqueda exhaustiva de claus i/o contrasenyes, atacs basats en la falsificació de credencials reals o evitant la seva necessitat mitjançant l'explotació de dependències entre els components d'aquestes aplicacions o a través d'atacs directes a aquests components.
  • Overflows: Atacs que permetin l'execució de codi maliciós en el Heap, a la pila del procés; o bé, cadenes de format malèvoles.
  • Fuites d'Informació: Anàlisis del codi font per localitzar comentaris que puguin ajudar als programadors a la seva legibilitat i augmentar el procés de documentació; revisió per a descobrir estructures o informació de depuració no eliminada; descobriment de missatges i codis d'error per obtenir informació d'aplicacions web, sistemes operatius, bases de dades...; búsqueda d'arxius o aplicacions que puguin ser explotades o utils en un atac; i informació privada emmagatzemada en el caché i els històrics del navegador web.
  • Criptografia: Atacs que exploten l'ús d'algoritmes criptogràfics dèbils i altres basats en la captura de dades xifrades i el seu ús per tenir accés ja sigui a la clau del xifrat o al text clar.
  • Configuracions: Atacs utilitzant comptes d'usuari o del sistema creades per defecte en les instalacions o preconfiguracions, explotant vulnerabilitats publicades d'algun dels components de les plataformes on es troba l'aplicació, i l'explotació de configuracions deficients o una falta d'actualització dels components principals de l'aplicacio web.

Resultats

Informe:
S'elabora un informe detallat en el qual s'inclou:

  • Resum executiu d'alt nivell.
  • Especificació de totes les proves realitzades així com el seu objectiu.
  • Resultats obtinguts en els diferents tests que s'han realitzat.
  • Recomanacions per a una solució ràpida i encertada dels problemes de seguretat detectats.
  • Classificació dels problemes de seguretat segons el seu nivell de perillositat. Això permetrà a l'empresa poder elaborar un plà d'actuació eficient per a resoldre aquests problemes de seguretat.

Workshop:
Reunió orientada a explicar els resultats obtinguts a l'auditoria i assessorar sobre les possibles solucions que existeixen pels problemes de seguretat trobats.