car el cumplimiento de las normas, procedimientos y controles de seguridad establecidos • Determinar si los controles implementados ante eventos de seguridad son los adecuados • Ejecución de pruebas de intrusión en base a la metodología orientada en base a OWASP, OSSTMM y CVSS. • Identi f i car los agentes de amenazas especí f i cas de tal forma que se puedan neutralizar o por lo menos minimizar el riesgo que puedan generar. • Con f i rmar que las medidas de seguridad implementadas son las adecuadas y si son capaces de resistir un ataque. • Proponer mejoras a nivel de desarrollo y arquitectura de las aplicaciones.
gravedad medio enfocado en divulgación de información en código no ofuscado. • La aplicación se ejecuta en un emulador de Android. • La aplicación se ejecuta en un teléfono móvil ruteado. • La aplicación divulga Token y APIs en código fuente no ofuscado.
f i caciones: • Pruebas para obtener información de los servicios web relacionados para las funcionalidades especí f i cas de las opciones disponibles en las aplicaciones móviles. Análisis del entorno de ejecución de las aplicaciones (bajo los sistemas operativos Android) en búsqueda de vulnerabilidades como bu f f er over f l ow, condiciones de carrera y ausencia de seguridad en las funcionalidades locales que implementa. Acceder a la información almacenada (generada y autosugestionada por la aplicación) localmente, temporal, así como permanente (datos que la app guarda permanentemente) respecto a datos propios de la organización.
f i caciones: • Pruebas de f i abilidad de la con f i guración de la encriptación aplicada al transporte de información sensible, así como controles de acceso locales de la aplicación. Revisión del código fuente no ofuscado, veri f i car si la aplicación es susceptible a ingeniería reversa, así como identi f i car errores de con f i guración que permitan que un atacante vulnere los equipos, servicios y/o información contenida en ellos.
Mobile Application Security Veri f i cation Standard (MASVS)Ç • OWASP Testing Guide • ISECOM Open Source Security Testing Methodology Manual • CVSS Common Vulnerability Score System • ISO/IEC 27032 Guidelines for Cybersecurity • NIST Cybersecurity Framework
en base a las siguientes metodologías como OWASP (proyecto abierto de seguridad de aplicaciones web), OSSTMM (Manual de Metodología abierta de Teseo de Seguridad), CWE (Enumeración de debilidades comunes) y SANS.
Evaluación de controles débiles de lado de servidor • Evaluación de almacenamiento de datos inseguro • Evaluación de protección insu f i ciente en la capa de transporte • Evaluación de divulgación de datos no intencionada • Evaluación de la fortaleza del proceso de autenticación y autorización • Evaluación de la criptograma • Evaluación de Inyección a nivel de cliente • Evaluación de decisiones de seguridad mediante entradas no con f i ables • Evaluación de gestión de sesiones • Evaluación de la de f i ciencia de protección binaria
errónea de aplicación • Desbordamiento de bu f f er • Inyección de comandos • Predicción de credenciales • Cross-site Scripting • Criptografía insegura • Denegación de servicio • Cadenas de formato • Credenciales en el código • HTTP Response Splitting • Incorrecta descodi f i cación de los datos de salida • Fuga de Información • Almacenamiento de cache de datos inseguros • Inyección de comandos de correos • Inyección Null Byte
Inyección de comandos en el sistema operativo • Rutas transversales • Condiciones de carrera • Inclusión de f i cheros remotos • Inyección de segundo orden • Fijación de sesión • Inyección SQL • URL redirección • Inyección XPath • XML entidades externas • XML expansión de entidades • Inyección XML