Sobre nosotros

Proceso de Test

Los test efectuados en el contexto del servicio KEEP-IT-SECURE-24 tienen en vista los sistemas y aplicaciones de nuestros clientes, y son llevados a cabo por un equipo de profesionales cualificados y certificados.

Las actividades de test que efectuamos tienen como objetivo probar los niveles de seguridad e identificar potenciales vulnerabilidades, utilizando herramientas y metodologías similares a los potenciales atacantes.

Entre otras, desarrollamos las siguientes actividades:

FootPrinting

Recogida de información sobre la infraestructura con el objetivo de encontrar vulnerabilidades que permitan efectuar la intrusión u obtener conocimiento sobre la infraestructura que facilite el proceso de intrusión

Scanning and Enumeration

Identificación de material, servicios, aplicaciones y correspondientes vulnerabilidades potenciales

Vulnerability Analysis

Análisis de vulnerabilidades potenciales, identificando falsos positivos y evaluando su viabilidad de utilización, para la exploración de la infraestructura y aplicaciones

Vulnerability Exploitation

Exploración de vulnerabilidades con el objetivo de efectuar la prueba de concepto y de evaluar el real impacto de la vulnerabilidad en la infraestructura y aplicaciones

Privilege Escalation

Obtención de privilegios adicionales para medir el real impacto de la vulnerabilidad en la infraestructura y aplicaciones

Information Gathering

Recogida de información sobre la aplicación web, identificando entry points, tecnologías y códigos de erro

Configuration Management Testing

Identificar y probar: SSL/TLS, acceso a Bases de Datos, configuraciones de infraestructura y aplicaciones, procesamiento de extensiones, ficheros redundantes disponibles para download, interfaces de administración, métodos de HTTP y XST

Authentication Testing

Identificar y probar: transporte de credenciales sobre canal cifrado, enumeración de usuarios, usuarios adivinables, bruteforce (passwords), subversión del esquema de autenticación, recuperación de passwords, logout y gestión de cache, CAPTCHA, race conditions

Session Management

Identificar y probar: esquema de gestión de sesiones, atributos de cookies, fijación de sesiones, CSRF

Authorization Testing

Identificar y probar: path traversal, límites en el esquema de autorización, escalonamiento de privilegios

Business Logic Testing

Analizar y probar la lógica de negocio de la aplicación

Data Validation Testing

Identificar y probar: XSS (reflected/stored/DOM), Cross Site Flashing, fallos de inyección (SQL/LDAP/ORM/XML/SSI/Xpath/IMAP/SMTP/Código/Comandos de sistema), buffer overflows, vulnerabilidades incubadas, HTTP spliting/smuggling, HPP (HTTP Parameter Pollution)

Denial of Service Testing

Identificar y probar vulnerabilidades que puedan causar negación de servicio, entre las cuales SQL wildcards, bloqueo de cuentas de usuarios, buffer overlows, alocación de objetos por el usuario, utilización de input de usuarios en controlo de ciclos, escrita de input del utilizador para el disco

Web Services Testing

Identificar información sobre WebServices, Probar WSDL, estructuras XML, contenidos XML, HTTP GET/REST, anexos SOAP, repeticiones (replay)

AJAX Testing

Identificar y probar vulnerabilidades en AJAX

Todas las vulnerabilidades identificadas son reportadas a través de nuestra plataforma de gestión para posibilitarle un proceso ágil y sustentado de resolución de las vulnerabilidades.

¿Sabía que el modelo KEEP-IT-SECURE 24 proporciona servicios profesionales continuados al nivel de los Test de Intrusión, pero manteniendo los gastos al nivel de un único test anual?
Verifique nuestra página de planes.

¿Tiene alguna cuestión?

Vea las preguntas más frecuentes