Tutorial para realizar tu propia auditoría Web

Hacer auditorías Web no tiene ningún misterio. Basta con conocer los métodos, para después aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. Así, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.

Para comprobar que el método no tiene ningún misterio, os enlazo este tutorial de auditorías Web de SANS Institute, en el que se puede apreciar claramente lo sencillo que es el método.

El tutorial consta de las siguientes partes

1. Introducción
2. Herramientas necesarias
3. Preparación
4. El proceso de auditoría
5. Conclusiones
6. Referencias

En el apartado 4 se ejemplifican los puntos de análisis habituales que son:

  1. Análisis de robots.txt
  2. Cross-Site Scripting
  3. Inyección SQL
  4. Cookies y campos ocultos
  5. Sesiones
  6. Google Hacking
  7. Spidering

Localizar y arreglar vulnerabilidades no sirve de nada (si es lo único que hacemos)

Especial interés tiene para mí el final del artículo de SANS, que reproducimos a continuación:

We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.

Es crucial que los análisis que hagamos sean eso, cosas útiles. Parchear vulnerabilidades es una solución deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo único que aporta valor añadido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.

También muy acertado el comentario de que la mejor auditoría posible de un aplicativo Web es aquella en la que se analiza el código fuente.

Un saludo,

Autor: Sergio Hernando

Sergio Hernando es una persona interesada en las tecnologías de la información, haciendo de éstas su campo laboral principal. Estos articulos fueron publicados desde 2004 hasta 2012.

3 opiniones en “Tutorial para realizar tu propia auditoría Web”

  1. amigo, tengo un trabajo sobre auditoria web, pero me gustaria saber si existen Estandares (como las ISO’s), para hacer estas auditorias web, Soy de Perú.

    de antemano gracias

Comentarios cerrados.