Las pruebas de vulnerabilidad permiten a la compañía tener una certeza razonable de hasta donde un ataque originado interna o externamente a la infraestructura de seguridad de la compañía puede ser efectivo y encontrar los elementos a mejorar en dicha infraestructura constituyéndose así en una medida idónea para la revisión de la efectividad de los controles establecidos, poniéndolos a prueba frente a las sofisticadas herramientas para vulnerar su seguridad que están disponibles en Internet y que serán manejadas por un grupo de profesionales con amplia experiencia en el tema y un alto sentido de la ética.
Las pruebas y análisis de vulnerabilidades permitirán evaluar entre otros los siguientes aspectos:
- Seguridad a nivel de Red (Control Listas CAM, MAC, IP, Vlan, ACL, Encripción).
- Inyección.
- Cross-Site Scripting (XSS).
- Manejo de sesiones y ruptura de autentificaciones.
- Insecure Direct Object References.
- Intercepción de peticiones entre sitios (CSRF).
- Malas configuraciones de Seguridad: a nivel de FrameWork, Sistema Operativo, Aplicaciones de Terceros, etc.
- Almacenamiento con fallos de cifrado: tarjetas de crédito sin cifrar, credenciales, etc.
- Falta de restricción de acceso a URL.
- Protección insuficiente en la capa de transporte: uso incorrecto de certificados de seguridad, etc.
- Redirecciones y envíos sin validación.
- Explotación de Fallos en Sistemas Operativos o Firmware.
- Prueba de Ruptura de Contraseñas con diversos métodos (Fuerza Bruta, Diccionario, Hibrido, etc.)
- Entre otras.
|
 |
