Bueno este documento es muy interezante y por eso se los dejo.
Mucho diran hacer una auditoria es muy facil solo es conocer los fallos mas comunes y corregirlos o realizar un plan preventivo; pues tienen razon xD pero podria llegar a ser poco util a largo plazo o un analisis de estudio deficiente por esta razon es mejor baserse en los expertos.
Hacer auditorías Web no tiene ningún misterio. Basta con conocer los métodos, para después aplicarlos con rigor, y que la mezcla entre constancia y experiencia haga que no dejemos cabos sueltos sin atar. No obstante, se trata de hacer siempre lo mismo, ya que los puntos de control habituales son independientes de la plataforma en muchos casos. Así, por ejemplo, nos da igual que haya un Cross-Site Scripting en un aplicativo Web que corre en Apache+Linux que en un aplicativo que corre en IIS+Windows 2003. Se trata de fallos equivalentes.
Para comprobar que el método no tiene ningún misterio, este tutorial de auditorías Web de SANS Institute, en el que se puede apreciar claramente lo sencillo que es el método.
El tutorial consta de las siguientes partes
1. Introducción
2. Herramientas necesarias
3. Preparación
4. El proceso de auditoría
5. Conclusiones
6. Referencias
En el apartado 4 se ejemplifican los puntos de análisis habituales que son:
1. Análisis de robots.txt
2. Cross-Site Scripting
3. Inyección SQL
4. Cookies y campos ocultos
5. Sesiones
6. Google Hacking
7. Spidering
Localizar y arreglar vulnerabilidades no sirve de nada (si es lo único que hacemos)
Especial interés tiene para mí el final del artículo de SANS, que reproducimos a continuación:
We did not say much about how to defend against each of these tests. However, the overall approach should not be to fix vulnerabilities one at a time as they are found, but to develop strategies and procedures that will prevent these vulnerabilities in the first place. It is imperative for a Web application to create a library of authentication, access control, session handling, and validation functions that are used consistently throughout the application.
Es crucial que los análisis que hagamos sean eso, cosas útiles. Parchear vulnerabilidades es una solución deficiente, y que aporta escasa o nula utilidad para el propietario de los sistemas. Lo único que aporta valor añadido es desarrollar, tal y como dicen en SANS, estrategias para prevenir las vulnerabilidades.
También muy acertado el comentario de que la mejor auditoría posible de un aplicativo Web es aquella en la que se analiza el código fuente.
Un saludo,
Espero les guste
link de interes
http://www.sans.edu/resources/securitylab/audit_web_apps.php --documento
http://bad-robot.blogspot.com/2009/01/tutorial-para-realizar-tu-propia.html --fuente
