Auditoría de Seguridad de Código Fuente

Auditoria de Seguridad de Código FuenteLa Auditoría de Seguridad de Código Fuente permite conocer el nivel de seguridad de las aplicaciones Web, de las aplicaciones específicas para dispositivos móviles o de las aplicaciones de escritorio.

Durante el proceso de Auditoría de Seguridad de Código Fuente se analiza el código fuente de una aplicación en busca de vulnerabilidades, fallos de diseño y de seguridad que puedan ser explotados por los atacantes.

En general, la Auditoría de Seguridad de Código Fuente requiere de la colaboración del equipo de desarrollo. A través de esta colaboración se optimiza el análisis en tiempo y profundidad.

Metodología

Realizamos a través de la exhaustiva y reconocida metodología OWASP Code Review Guide la revisión de los siguientes aspectos de seguridad:

Autenticación: Se audita los puntos donde se transmitan credenciales revisando su cifrado y controles para garantizar que no puedan ser sobrepasados. Gestión de sesiones.

Autorización: Se comprueban los tipos o perfiles de usuario y sus derechos utilizando el principio de “mínimos privilegios” en cada petición.

Validación de datos de entrada: La auditoría verifica el modelo de validación y de sanitización de los datos. De forma que no puedan ser vulnerados por usuarios maliciosos a través de campos de entrada y campos ocultos, peticiones personalizadas, cabeceras, datos de listas y cookies. Verificamos que todas las comprobaciones de validación de datos se realicen por el lado del servidor y no en el lado del cliente.

Criptografía: Revisamos los algoritmos de cifrado y su correcta implementación para todos los datos sensibles.

Entorno: Analizamos la estructura de ficheros/directorios para evitar la revelación de código fuente, listado de directorios y acceso a archivos del sistema.

Gestión de cookies: Se revisa que las cookies no incluyan información sensible manteniendo los mínimos datos posibles; que no se pueden realizar acciones no autorizadas mediante su manipulación; se emplea cifrado y transmisión segura; y se revisa que los datos de sesión se validen correctamente.

Gestión de errores: Se revisa que todos los métodos/funciones que devuelven valores tienen una correcta gestión de excepciones y situaciones de error. Sin devolver errores del sistema al usuario.

Registro: Se audita el registro de cada una de las acciones que se producen en la aplicación por parte de todos los usuarios sin almacenar información sensible. Especialmente las relativas a los eventos de autenticación y el envío de contenido.

Auditoria de Seguridad de Código Fuente. OWASP Code Review Guide

 

Comillas izquierdaEl 95% de los ataques en Internet se dirigen contra las aplicaciones pudiendo revelar información confidencial de la empresa con graves consecuencias legales.Comillas derecha Carlos Sánchez Santos – Forense Informático Judicial

PEDIR PRESUPUESTO

Beneficios

A través de la Auditoría de Seguridad de Código Fuente preparamos su aplicación para hacer frente a los ciberataques:

  • Se detecta las vulnerabilidades de las aplicaciones.
  • Complementa técnicamente el Test de Intrusión de aplicaciones proporcionando un punto de vista interno sobre la calidad y potenciales problemas de seguridad del código fuente.
  • Evita la publicación de información confidencial de la compañía a través de sus aplicaciones.
  • Mejora la seguridad global de su empresa.

Entregables

Se elabora un informe detallado donde se incluye:

  • Resumen ejecutivo de alto nivel.
  • Detalle de todos los aspectos revisados especificando su objetivo.
  • Resultados obtenidos en los diferentes test que se han realizado.
  • Recomendaciones que permitan solucionar de la forma más acertada los problemas de seguridad encontrados.
  • Taller y presentación de medio día de la Auditoria de Seguridad de Código Fuente. Reunión orientada a explicar los resultados obtenidos en la auditoria y asesorar sobre las posibles soluciones que existan para los problemas de seguridad encontrados.

Nuestro valor añadido

  • Experiencia de nuestros profesionales.
  • Metodología.
  • Revisión manual del código.
  • Entregables.