Tag Archive for auditoría

Web Hacking : Una línea para manejarlos a todos

¿Podría darte una línea de código acceso a un sitio Web completo? ¿Qué información obtendría un atacante si consiguiera llegar al nivel más bajo de tu página Web? es decir, a tu BBDD o SSOO. Dependiendo del objetivo de la misma podría encontrar seguramente información sobre la identidad de los usuarios, transacciones bancarias, compras online, usuarios, contraseñas y mucho más.

¿Cuánto vale tu información? Debemos de establecer unos controles de seguridad mínimos a nuestro sitio Web, llevar a cabo una serie de auditorías de seguridad que garanticen el buen funcionamiento de la misma. No sólo tener en regla la política de cookies y poco más, sino os puede ocurrir como la Web con la que me encontré hace unas semanas a la hora de preparar una charla. Antes de nada os muestro un disclaimer.


Aviso Legal y Descargo de Responsabilidad

  1. El objetivo de lo mostrado a continuación tiene fines educativos para aprender a mejorar la seguridad de nuestros sitios Web.
  2. No nos hacemos responsables del mal uso que se le pueda dar a las herramientas mostradas.
  3. Toda la auditoría Web mostrada a continuación se ha llevado a cabo con permisos de sus administradores según lo acordado en documento legal.

Vamos a llevar a cabo la auditoría de un sitio Web siguiente la metodología OWASP, concretamente seguiremos la OWASP Testing Guide V4. Los diferentes puntos que abarca dicha metodología los podéis ver detalladamente en el enlace anterior. A continuación nombramos los aspectos generales a tratar.

Read more

Auditoría de seguridad informática

A día de hoy, es mayoritario el uso de un ordenador en la empresa. Es más, nos escandalizaríamos si en algún negocio, del tipo que sea, no se gestionara y/o administrara a través de medios informáticos junto con el uso de Internet, que está más que generalizado. Es solo cuestión de mirar a nuestro alrededor.

La implantación absoluta de los sistemas informáticos en la empresa hace de ésta más competitiva a todos los niveles, tanto logístico, administración, inventario, contabilidad, RR.HH, pedidos, etc… Ni que decir tiene que el uso de Internet favorece enormemente la relación entre empresas y clientes.

Como todo activo de la empresa, tal como un vehículo, estos equipos necesitan un mantenimiento. Obviamente no el mismo que un coche o camión. La parte fundamental de cara a interactuar con el ordenador es el Sistema Operativo. Mucha gente piensa que el ordenador es eterno, perpetuo al paso del tiempo y del trabajo. Que es solo introducir información, navegar, correo, etc… Pero lejos del pensamiento casi común, un ordenador, un conjunto de equipos de una empresa X, necesita unas atenciones básicas ya que pueden ser la vía de entrada a los famosos, amigos de lo ajeno, en este caso hackers (blackhat) y crackers.

¿Cómo es posible que ese ordenador que tenemos para usar el plotter de A3 que lo usamos una vez cada día puede facilitar el robo de información?

Fuente:http://www.smallbiztechnology.com

Read more