Web app penetration testing

Web app penetration testing

Penetration testing para aplicaciones web, aprobado por CREST y a cargo de expertos en ciberseguridad.

Siempre disponible

Disponibles

Las aplicaciones web están disponibles 24x7 e incluyen datos sensibles. Por ello, representan un objetivo tentador para los hackers. Nuestro penetration testing para web apps se realiza mediante la explotación manual de vulnerabilidades para que recibáis un análisis de riesgo que solo pueden ofrecer testers expertos. Combinamos esta metodología con las mejores herramientas automatizadas.

Todos los análisis van acompañados de un informe completo, con descripciones tanto técnicas como no técnicas, junto a recomendaciones para solucionar las vulnerabilidades identificadas.

Riesgos visibles

Riesgos visibles

Hacemos visibles todos los riesgos que os afectan:

  • Acceso no autorizado pasados los controles de autenticación para escalar privilegios.
  • Introducción de código malicioso.
  • Manipulación de funciones de las aplicaciones.
  • Anulación o disrupción de una página web.
  • Test de autenticación.
  • Obtención de acceso a la infraestructura de hosting.
Desarrollo bajo test

Ciclo de vida

Securizar una aplicación tiene que ver con todo el ciclo de vida, desde el desarrollo, a través de los procesos de vida, hasta el desmantelamiento. El test involucra cualquier metodología DevOps usada por la empresa. El servicio se desarrolla en cuatro áreas:

  • IAST: Interactive Application Security Testing
  • SAST: Static Application Security Testing
  • RAST: Run-Time Application Security Testing
  • DAST: Dynamic Application Security Testing

Nuestra metodología

Diseñamos el test de penetración a medida según vuestras aplicaciones web específicas, en base a nuestra metodología flexible y robusta. Los tests se llevan a cabo desde una perspectiva tanto de autenticación como no autenticación, y ofrece una evaluación del enfoque de seguridad de la aplicación, tanto desde usuarios válidos como usuarios no autorizados.

  • Alcance y planificación
  • Mapeo de la aplicación
  • Análisis automático de vulnerabilidades
  • Test/fuzzing de falla de inyección
  • Test de autenticación
  • Test de gestión de sesión y autorización de sesión
  • Cross-site request forgery (CSRF)/Chequeos Clickjacking
  • Seguridad de cookies
  • Observaciones en políticas de información
  • Pruebas post explotación
  • Reporting
  • Entrevista

Nuestras acreditaciones

Crest
Cyber essentials
Check penetration testing
ISO27001
Certified Ethical Hacker
Certified CISO
CISSP
Certified CISO
Offensive Security OSCE
Offensive Security OSCP