Skip to content

Tutorial para realizar tu propia auditoría Web

Publicado por Sergio Hernando el 26 marzo 2007

Hacer auditorías Web no tiene ningún misterio. Basta con conocer los métodos, para después aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. Así, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.

Para comprobar que el método no tiene ningún misterio, os enlazo este tutorial de auditorías Web de SANS Institute, en el que se puede apreciar claramente lo sencillo que es el método.

El tutorial consta de las siguientes partes

1. Introducción
2. Herramientas necesarias
3. Preparación
4. El proceso de auditoría
5. Conclusiones
6. Referencias

En el apartado 4 se ejemplifican los puntos de análisis habituales que son:

  1. Análisis de robots.txt
  2. Cross-Site Scripting
  3. Inyección SQL
  4. Cookies y campos ocultos
  5. Sesiones
  6. Google Hacking
  7. Spidering

Localizar y arreglar vulnerabilidades no sirve de nada (si es lo único que hacemos)

Especial interés tiene para mí el final del artículo de SANS, que reproducimos a continuación:

We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.

Es crucial que los análisis que hagamos sean eso, cosas útiles. Parchear vulnerabilidades es una solución deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo único que aporta valor añadido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.

También muy acertado el comentario de que la mejor auditoría posible de un aplicativo Web es aquella en la que se analiza el código fuente.

Un saludo,

Be Sociable, Share!

Categoría/s → Auditoria

3 comentarios
  1. 23 septiembre 2009
    omar permalink

    amigo, tengo un trabajo sobre auditoria web, pero me gustaria saber si existen Estandares (como las ISO’s), para hacer estas auditorias web, Soy de Perú.

    de antemano gracias

  2. 24 septiembre 2009

    Omar,

    Aprobados a nivel ISO no, no los hay. Pero los hay muy completos, como OWASP o la Open Source Testing Methodology.

    Échales un ojo, a ver que tal. Un saludo!

  3. 15 mayo 2012

    Groso…. tendras actualidad acerca del tema…

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS