Entradas

Auditoria Web automatizada (acunetix, W3AF, VEGA, arachni, IBM AppScan, HP Webinspect, Cenzic, MileSCAN, Netsparker, Klypex, WebSecurify, Qualys

Imagen
  Dentro de los procesos de auditoria web, siempre es bueno tener una herramienta automatizada, más que todo para las fases de enumeración, es decir que sea un robot el que se encargue de recorrer todo el sitio y que me diga donde hay posibles campos de ingreso para el usuario, algunos van un poco más en profundidad y testean una gran cantidad de fallos que a un auditor puede que se le pase por alto probar, nos reportan y nos verifican. VEGA Vega le ayuda a encontrar y corregir secuencias de comandos entre sitios (XSS), inyección de SQL y más. Vega es un escáner de seguridad web gratuito y de código abierto y una plataforma de pruebas de seguridad web para probar la seguridad de las aplicaciones web. Vega puede ayudarle a encontrar y validar SQL Injection, Cross-Site Scripting (XSS), revelar inadvertidamente información confidencial y otras vulnerabilidades. Está escrito en Java, basado en GUI, y se ejecuta en Linux, OS X y Windows. Vega incluye un escáner automa
Publicar un comentario
Leer más

Tipos de pruebas (interna/externa).

Imagen
La prueba de penetración es una de las formas más efectivas de evaluación de seguridad porque se dirige a los controles encargados de la protección de su red. Esto ayudará a su organización: ·          Determinar la efectividad de los controles de seguridad ·          Identificar las debilidades en los controles ·          Demostrar el impacto de esas debilidades Existen varios tipos de pruebas: Pruebas externas Una prueba de penetración externa simula en la organización dirigida a través de la Internet desde cualquier lugar por cualquier persona en el mundo. Un atacante externo puede orientar su organización por decisión propia o porque su organización tiene una tecnología en particular o tiene una configuración específica. Pruebas internas Una prueba de penetración interna reproduce un ataque desde dentro de la red de su organización. El atacante podría ser un empleado pícaro o proveedor que está au torizado para acceder a su red, o un atacante de s
Publicar un comentario
Leer más

Herramientas (LanGuard, Nessus, OpenVAS, NeXpose, McAfee Vulnerability Manager)

Imagen
LanGuard: Es una galardonada solución de escáner de red y de seguridad, que le permite analizar su red y puertos para detectar, evaluar y corregir vulnerabilidades de seguridad con el mínimo esfuerzo administrativo, ofreciendo: Administración de actualizaciones. Evaluación de vulnerabilidad. Auditoría de red. Principales características: Administración de actualizaciones para sistemas operativos y aplicaciones Microsoft® y Max OS X. Implementa software a medida y de terceros y actualizaciones en toda la red. Administración de actualizaciones para otras aplicaciones (no Microsoft). Corrección automática de aplicaciones no autorizadas. Conexión a escritorio remoto. Nessus: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos. De
Publicar un comentario
Leer más