En seguridad informática, consideramos que las vulnerabilidades de una web son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad de dicho software.
Por eso se recomienda realizar de forma periódica un escaneo de vulnerabilidades, que implica la automatización por medio de software especializado de la identificación de dichos fallos.
Inyecciones SQL, Cross Site Scripting (XSS), inclusiones de ficheros locales (LFI) y remotos (RFI), Server Side Includes (SSI) son algunas de las vulnerabilidades más frecuentes en las webs.
Realizar un escaneo de vulnerabilidades sirve para evitar que un potencial atacante pueda explotar esas debilidades para atacar nuestra web. Tener controladas las vulnerabilidades será en este 2013 más importante que nunca, puesto que las previsiones de los expertos apuntan a un incremento del malware y de los ataques tanto a webs de grandes organizaciones como a pequeñas páginas poco atentas a la seguridad online.
Para garantizar la seguridad de nuestras páginas webs, como ya explicábamos en un post anterior dedicado a la seguridad de las webs, es necesario analizar profundamente todos los elementos que intervienen en la cadena del negocio. Hay que pensar por ejemplo en seguridad a nivel lógico, físico (control de acceso, sistemas de firewall,...) y perimetral (firewalls, IDS, IPS,…), programar de forma segura, configurar correctamente servicios y aplicativos, preocuparse de la confidencialidad, disponibilidad e integridad de la información, aislar totalmente los datos, y realizar una monitorización continua de la seguridad.
Los escaneos de vulnerabiliades ayudan también a cumplir correctamente las normativas (Ej.:LOPD) y podría ser de ayuda para la seguridad y para el negocio cumplir con los estándares correspondientes (Ej.: ISO). Por todo ello es recomendable buscar asesoramiento continuo, así como contar con un proveedor estable y de confianza que pueda aportar años de experiencia en el mismo sector.
....
Web de Security Guardian: http://www.security-guardian.com/
Linkedin
de Security
Guardian: http://www.linkedin.com/company/security-guardian
Twitter
de Security Guardian: @securitguardia
