Auditoría de seguridad de una plataforma web

Desde hace un par de meses TATAKI está trabajando en la auditoría de seguridad de una importante plataforma Web . La plataforma está diseñada para el despliegue de servicios telemáticos que incluyen trámites legales y transacciones económicas con diversas entidades.

La auditoría sigue los pincipios de normas estándar como ITIL o la ISO 27002, donde se contempla el proceso de gestión de la seguridad de la información desde tres vertientes diferenciadas:

  • Disponibilidad, mediante auditorías de rendimiento, capacidad, disponibilidad, escalabilidad, etc.
  • Integridad, mediante auditorías de seguridad Web, autenticación, filtrado, code injection, revisión de código, etc.
  • Confidencialidad, mediante auditoría de protección de datos (LOPD y LSSI/CE).

Algunos de los estudios realizados en el proyecto son:

Benchmarking y Tiempo de respuesta: Obtención de indicadores y métricas, para poder evaluar el rendimiento de los diversos componentes del sistema, cuellos de botella, etc.

Análisis de carga y capacidad: Permite definir los parámetros de calidad de acceso a la plataforma según la percepción de los usuarios. Se intenta modelar el comportamiento de los usuarios creando un usuario tipo artificial. El modelo resultante se emplea para generar carga contra un servidor (o cluster) específico o la arquitectura en su conjunto.

Análisis de mecanismos de autenticación y gestión de la sesión: Incluye todos los aspectos relacionados con el control del acceso de los usuarios al sistema y los mecanismos de gestión de las sesiones activas. Para diagnosticar los mecanismos de autenticación y gestión de la sesión se pueden emplear tanto revisiones de código como pruebas de penetración.

Análisis de visibilidad externa de la plataforma: Controlar correctamente el acceso al contenido de un sitio Web es algo crucial para mantener la disponibilidad de la aplicación. Para ello deben evaluarse las posibilidades de sufrir ataques por técnicas como Directory Traversal, Cross Site Scripting, etc.

Revisión de código: Consiste en inspeccionar el código de la aplicación para identificar vulnerabilidades en él. Las vulnerabilidades en el código existen debido a un diseño o implementación inadecuados (desconocimiento, descuidos, código provisional, etc.) durante el ciclo de vida de desarrollo de la aplicación. Algunas vulnerabilidades importantes a localizar en esta revisión son: filtrado incorrecto de las entradas de datos, inyección de código, Cross Site Scripting, tratamiento de errores y excepciones, control de acceso a los componentes de la aplicación (e.g. EJBs), denegación de servicio, etc.

 

One comment

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *