Auditoría de páginas web y de código

Para finalizar el conjunto de post dedicados a la Auditoría de seguridad, hoy se verá que es una Auditoria de páginas web y de código.

Auditoria de páginas web Muchas aplicaciones y servicios web son vulnerables a un conjunto de ataques independientemente de la plataforma y/o tecnología que se use. Usando la metodología OWASP se pueden hacer un seguido de pruebas en todas las fases del desarrollo para identificar dichas vulnerabilidades e implementar las medidas correspondientes.

Las vulnerabilidades web tienen su origen en defectos en el diseño e implementación de las aplicaciones, en la programación descuidada de las rutinas, en la pobre implementación de medidas de control de acceso o en la falta de validación y saneamiento de los datos de entrada.

La auditoría se puede realizar mediante el uso de herramientas automáticas, que revisan todos los puntos de la aplicación que puedan contener vulnerabilidades.

Auditoria de código Una auditoría de código parte del código fuente de una aplicación que se analizará en busca de fallos de diseño y de seguridad que puedan ser explotados por atacantes. También estudia el software base en el que se apoya, pudiendo ver si hay algún componente que tenga alguna vulnerabilidad y necesite una actualización.

Para este tipo de auditoría, OWASP también ofrece una metodología de pruebas para detectar los fallos y consejos para programar en cada lenguaje de forma segura.

La auditoría de código cubre distintos campos, en los que se destacan: Autentificación, Validación de Datos de Entrada, Fugas de información a causa de Buffer Ovewrflows, Criptografía de los datos sensibles y Gestión de sesiones.