El equipo de hackers éticos de INFRASEG emulará un ataque desde internet hacia el portal web, desde múltiples direcciones y de manera concurrente y secuencial. Entre otros buscará:

• Estado general de la aplicación instalada.
• Revisión de permisos de directorios y archivos.
• Revisión externa del servidor donde esta instala el sitio web y si posee los requisitos mínimos de seguridad en la configuración de software y protocolos.
• Detección de malware instalado en la aplicación que pueda ocasionar problemas funcionales o reputacionales a la organización.

Siguiente a esto se realizan una serie de análisis de reconocimiento que constan de las siguientes actividades:

• Browsing General: En una primera etapa se procederá a realizar una navegación general, como lo haría cualquier usuario común, con el fin de identificar posibles puntos de interés y validar los flujos a ser analizados.
• Búsqueda de Formularios: Una vez identificados los puntos de interés se procederá a identificar todos los vectores de interacción con el usuario o ingresos de información dentro de los flujos definidos en el alcance.
• Análisis de Cookies: Sabiendo que existen aplicaciones que basan el despliegue de su contenido y autenticaciones en el uso de cookies se utilizarán herramientas para el análisis de cookies y sesiones generadas. Este trabajo permitirá, en etapas posteriores, posibles suplantaciones e inyecciones de información.
• Entre otras actividades definidas por la experiencia del equipo y el OWASP Testing Methodology Guide

Una vez completado lo anterior se procederá a realizar una serie de pruebas, utilizando herramientas comerciales y de código abierto, con el fin de vulnerar el aplicativo a evaluar. A continuación, se presenta algunas de las pruebas a realizar en la aplicación:

• Manipulación de parámetros en URL y Encabezados
• Cross-Site Scripting
• SQL Injection
• Análisis de Manejo de Sesiones (colisión, entropía, seguridad)
• Reverse Directory Transversal
• Implementación y Uso de Protocolos Seguros (SSL-TLS)
• Pruebas de CSRF, CSIO.
• Ataques de Tipo Redirect
• Manipulación de Campos Escondidos
• Chequeo de Vulnerabilidades Conocidas
• Chequeo de Archivos Comunes y Descarga de Contenido (sin autenticar)
• Ataques de Tipo XML.

En este servicio los consultores de INFRASEG se posicionan en el exterior de su infraestructura y comienzan un ataque a distintos objetivos que nos permitan acceder a recursos internos o sólo afectar la disponibilidad de los servicios del cliente. Este servicio simula lo que un Ciberdelincuente haría parado en el perímetro externo de sus plataformas. Lo más común es revisar el sitio Web, redes Wifi y cualquier parte de la infraestructura expuesta a internet.

En este servicio los consultores de INFRASEG se posicionan en el interior de su infraestructura y comienzan a analizar el entorno para luego efectuar un ataque para escalar privilegios y/o obtener o “escuchar” información desde la red interna. El fin de nuestro pentesting interno es tratar de llegar a ser superusuarios de las plataformas que encontremos. Este servicio simula un insider que puede ser un empleado disgustado o alguien que deliberadamente fue contactado para sustraer información a cambio de dinero o extorsión.

Ciertamente un insider puede hacer mucho mas daño que muchos ciberlidelincuentes desde el perímetro externo, ya que posee conocimientos, aplicativos de la institución, credenciales y permisos difíciles de obtener desde fuera.

Entre otros buscamos:

• Servidores y dispositivos no parchados
• Carpetas compartidas
• Wifi interna insegura
• Usuarios genéricos
• Mal uso de passwords
• Probar funcionamiento de sistemas internos (IDS/IPS)
• Envío de información sensible al exterior, ej:
• Números de tarjetas de crédito
• Información de clientes
• Documentos confidenciales