sábado, 8 de junio de 2013

¿Qué es y cómo se hace una auditoría web?

Una auditoría web es un análisis de la seguridad de la página web que pretende detectar las vulnerabilidades que sufre esta página. Las auditorías de seguridad, en general, pueden denominarse también test de intrusiones o test de penetraciones. Hay diferentes tipos y modalidades de auditorías de seguridad. Primero, hay que diferencias entre auditorías manuales y auditorías automatizadas.

Auditoría web


Una auditoría web manual puede ser de tipo caja negra, caja blanca o caja gris. Una auditoria de seguridad web de tipo caja blanca se produce cuando el auditor puede gozar de conocimientos internos (puede conocer la infraestructura de la web, las medidas de seguridad de la pagina web, puede entrevistar a los desarolladores, puede revisar código, etc...) y simula el comportamiento de un atacante que podría venir del interior de la organización y/o con colaboración interna a la misma.

Un test de intrusiones de tipo caja negra se efectúa sin disponer de conocimientos internos. Por último, un test de intrusiones de una pagina web en la modalidad caja gris se da cuando el auditor combina las técnicas de caja blanca y caja negra explicadas anteriormente. Para profundizar en las diferencias entre auditorías de caja negra y de caja blanca puedes leer este artículo escrito por el CEO de Security Guardian, Antonio San Martino, y publicado en Sogeti.

Cuando para efectuar las auditorías de seguridad de las páginas web se hace uso sólo de herramientas de seguridad automatizadas, nos solemos referir a ellas como escaneos de vulnerabilidades web, en inglés se pueden encontrar diferentes variantes como webscan, web scanner o vulnerability web scanner.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian