{"id":116,"date":"2007-03-28T12:17:46","date_gmt":"2007-03-28T15:17:46","guid":{"rendered":"http:\/\/talsoft.com.ar\/weblog\/?p=116"},"modified":"2007-03-28T12:17:46","modified_gmt":"2007-03-28T15:17:46","slug":"tutorial-para-realizar-tu-propia-auditoria-web","status":"publish","type":"post","link":"https:\/\/www.talsoft.com.ar\/site\/es\/tutorial-para-realizar-tu-propia-auditoria-web\/","title":{"rendered":"Tutorial para realizar tu propia auditor\u00c3\u00ada Web"},"content":{"rendered":"

Hacer auditor\u00c3\u00adas Web no tiene ning\u00c3\u00ban misterio. Basta con conocer los m\u00c3\u00a9todos, para despu\u00c3\u00a9s aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. As\u00c3\u00ad, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.<\/p>\n

Para comprobar que el m\u00c3\u00a9todo no tiene ning\u00c3\u00ban misterio, os enlazo este tutorial de auditor\u00c3\u00adas Web de SANS Institute<\/a>, en el que se puede apreciar claramente lo sencillo que es el m\u00c3\u00a9todo.<\/p>\n

El tutorial consta de las siguientes partes<\/p>\n

1. Introducci\u00c3\u00b3n
\n2. Herramientas necesarias
\n3. Preparaci\u00c3\u00b3n
\n4. El proceso de auditor\u00c3\u00ada
\n5. Conclusiones
\n6. Referencias<\/p>\n

En el apartado 4 se ejemplifican los puntos de an\u00c3\u00a1lisis habituales que son:<\/p>\n

    \n
  1. An\u00c3\u00a1lisis de robots.txt<\/li>\n
  2. Cross-Site Scripting<\/li>\n
  3. Inyecci\u00c3\u00b3n SQL<\/li>\n
  4. Cookies y campos ocultos<\/li>\n
  5. Sesiones<\/li>\n
  6. Google Hacking<\/li>\n
  7. Spidering<\/li>\n<\/ol>\n

    Localizar y arreglar vulnerabilidades no sirve de nada (si es lo \u00c3\u00banico que hacemos)<\/strong><\/p>\n

    Especial inter\u00c3\u00a9s tiene para m\u00c3\u00ad el final del art\u00c3\u00adculo de SANS, que reproducimos a continuaci\u00c3\u00b3n:<\/p>\n

    We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place<\/strong>. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.<\/p><\/blockquote>\n

    Es crucial que los an\u00c3\u00a1lisis que hagamos sean eso, cosas \u00c3\u00batiles. Parchear vulnerabilidades es una soluci\u00c3\u00b3n deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo \u00c3\u00banico que aporta valor a\u00c3\u00b1adido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.<\/p>\n

    Tambi\u00c3\u00a9n muy acertado el comentario de que la mejor auditor\u00c3\u00ada posible de un aplicativo Web es aquella en la que se analiza el c\u00c3\u00b3digo fuente.<\/p>\n

    Fuente: http:\/\/www.sahw.com\/wp\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    Hacer auditor\u00c3\u00adas Web no tiene ning\u00c3\u00ban misterio. Basta con conocer los m\u00c3\u00a9todos, para despu\u00c3\u00a9s aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[3,1],"tags":[],"class_list":["post-116","post","type-post","status-publish","format-standard","hentry","category-articulos","category-profesional"],"_links":{"self":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/comments?post=116"}],"version-history":[{"count":0,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/posts\/116\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/media?parent=116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/categories?post=116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.talsoft.com.ar\/site\/wp-json\/wp\/v2\/tags?post=116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}