¿Estás interesado en conocer más acerca del pentesting de aplicaciones web y mobile en ambientes pre-productivos?

En Seven Ice te explicaremos todo lo que necesitas saber para mejorar tu conocimiento al respecto.

En este artículo te mostraremos un extracto sobre conceptos como definición pentesting y como aplicarla a tus equipos de trabajo.

Primero, hablemos acerca de qué es pentesting. No existe un concepto de diccionario del mismo, no obstante que tomando en consideración en la definición que se encuentra en el proyecto de OWASP Web Security Testing Guide el test lo define como “el proceso comparativo del estado de un sistema o aplicación versus un set de criterios”. Por lo tanto de ello podemos desprender que el pentesting es un procesos de test de penetración a un sistema de la información con la finalidad de detectar las brechas que pueden ser utilizadas por un atacante para completar sus fines.

Los framework que utilizamos están basados en OWASP  

OWASP es una organización sin fines de lucro la cual tiene presencia mundial, para los efectos de la seguridad de la información tiene variados proyectos tanto a nivel de laboratorios, normativos, documentales, entre otros, pero para estos efectos nos enfocaremos en cuatro de los proyectos que son nuestra guía u orientación para la ejecución de proyectos de pentest. Partiremos señalando el porque realizamos los test, esto se debe a la necesidad de poder pasar a producción productos de calidad, donde se evite que existan vulnerabilidades inclusive desde el primer día en que están en el mercado.

Para entender el porque nos referiremos a los estándar de desarrollo que se encuentran por el lado web en el proyecto ASVS (application security verification standard) y por el lado de aplicaciones móviles el MASVS (mobile application security verification standard) ambos que pasaremos a explicar a continuación.

OWASP ASVS

Este estándar proporciona un marco de referencia para evaluar la seguridad de las aplicaciones web en términos de requisitos de seguridad.

OWASP ASVS se divide en tres niveles de verificación:

Nivel 1: para aplicaciones que no tienen tratamiento de datos sensibles ni normativos estrictos.

Nivel 2: para aplicaciones las cuales tienen requisitos de tratamiento de datos sensibles o cumplimiento normativo.

Nivel 3: para aplicaciones las cuales tienen requisitos de tratamiento de datos sensibles, militares o de infraestructura crítica.

Cada nivel se centra en un conjunto diferente de requisitos de seguridad y proporciona una mayor complejidad y profundidad en la evaluación. Los requisitos incluyen desde la autenticación y autorización, hasta la seguridad en el almacenamiento de datos, la seguridad en la comunicación y la seguridad en el uso de bibliotecas y componentes. El estándar OWASP ASVS es ampliamente utilizado por desarrolladores, auditores de seguridad, administradores de seguridad de aplicaciones y evaluadores de cumplimiento para evaluar la seguridad de las aplicaciones web. Puede ser utilizado para evaluar la seguridad de una aplicación durante el desarrollo, antes de su lanzamiento al público, y como parte de un programa de seguridad continua. Además, el estándar OWASP ASVS también puede ser utilizado como una herramienta para cumplir con los requisitos de cumplimiento normativo, como PCI DSS, HIPAA, y SOC 2.

OWASP MASVS

Es un estándar que proporciona un marco referencial para evaluar la seguridad de las aplicaciones móviles en términos de requisitos de seguridad.

OWASP MASVS se divide en dos niveles de verificación: básico y avanzado. Cada nivel se centra en un conjunto diferente de requisitos de seguridad y proporciona una mayor complejidad y profundidad en la evaluación.

Los requisitos incluyen desde la autenticación y autorización, hasta la seguridad en el almacenamiento de datos, la seguridad en la comunicación, la seguridad en el uso de bibliotecas y componentes, y las preocupaciones específicas de las aplicaciones móviles como la seguridad en la plataforma, la privacidad del usuario y la seguridad en el software de terceros.

El estándar OWASP MASVS es ampliamente utilizado por desarrolladores, auditores de seguridad, administradores de seguridad de aplicaciones y evaluadores de cumplimiento para evaluar la seguridad de las aplicaciones móviles.

Puede ser utilizado para evaluar la seguridad de una aplicación durante el desarrollo, antes de su lanzamiento al público, y como parte de un programa de seguridad continua.

Además, el estándar OWASP MASVS también puede ser utilizado como una herramienta para cumplir con los requisitos de cumplimiento normativo, como PCI DSS, HIPAA, y SOC 2. Ahora bien, sabiendo el porqué vamos a realizar el pentest, nos enfocaremos en los dos proyectos que se utilizan para realizar las pruebas de seguridad WSTG y MASTG que los pasamos a explicar a continuación.

WSTG

Esta guía proporciona un marco de referencia para realizar pruebas de seguridad en aplicaciones web. La guía WSTG se divide en tres fases: planificación, ejecución y informe. En la fase de planificación, se definen los objetivos de la prueba de seguridad, se identifican los riesgos y se establecen los procedimientos y herramientas a utilizar.

En la fase de ejecución, se lleva a cabo la prueba de seguridad y se registran los resultados. En la fase de informe, se analizan los resultados y se elabora un informe de seguridad.

La guía WSTG cubre una amplia variedad de temas de seguridad web, incluyendo ataques de inyección SQL, ataques de inyección XSS, ataques de inyección de comandos, ataques de inyección de código, ataques de inyección de sesión, ataques de phishing, ataques de suplantación de identidad, ataques de fuerza bruta, ataques de denegación de servicio, y otras vulnerabilidades comunes de aplicaciones web.

Además, la guía WSTG también proporciona una serie de herramientas y recursos para ayudar a los profesionales de seguridad en la realización de pruebas de seguridad.

MASTG

Esta guía proporciona un marco de referencia para realizar pruebas de seguridad en aplicaciones móviles. La guía MASTG se divide en tres fases: planificación, ejecución y informe.

En la fase de planificación, se definen los objetivos de la prueba de seguridad, se identifican los riesgos y se establecen los procedimientos y herramientas a utilizar.

En la fase de ejecución, se lleva a cabo la prueba de seguridad y se registran los resultados. En la fase de informe, se analizan los resultados y se elabora un informe de seguridad.

La guía MASTG cubre una amplia variedad de temas de seguridad móvil, incluyendo ataques de inyección SQL, ataques de inyección XSS, ataques de inyección de comandos, ataques de inyección de código, ataques de inyección de sesión, ataques de phishing, ataques de suplantación de identidad, ataques de fuerza bruta, ataques de denegación de servicio, y otras vulnerabilidades comunes de aplicaciones móviles.

Además, la guía MASTG también proporciona una serie de herramientas y recursos para ayudar a los profesionales de seguridad en la realización de pruebas de seguridad.

Métodos de Uso

El uso que se le dan a las metodologías de pentest que se hablaron el punto anterior corresponde al proceso pre-productivo, esto porque es donde tienen más sentido, ya que mientras antes se realice una prueba de seguridad, también antes se produce la remediación de un problema y por lo tanto el costo es menor que al ya estar en etapas productivas.

Conclusión

En resumen, OWASP ASVS y MASVS son estándar de verificación de seguridad de aplicaciones web móviles, respectivamente, y que proporcionan un marco referencial para las evaluaciones de la seguridad de las aplicaciones. Ambos son utilizado por desarrolladores, auditores de seguridad, administradores de seguridad de aplicaciones y evaluadores de cumplimiento para evaluar la seguridad de las aplicaciones. Puede ser utilizado para cumplir con los requisitos de cumplimiento normativo y como parte de un programa de seguridad continua. En resumen, OWASP WSTG y MASTG son una guía de pruebas de seguridad que proporciona un marco de referencia para realizar pruebas de seguridad en aplicaciones. Cubriendo una amplia variedad de temas de seguridad y proporcionan herramientas y recursos para ayudar a los profesionales de seguridad en la realización de pruebas de seguridad. Son herramientas valiosas para desarrolladores, auditores de seguridad, administradores de seguridad de aplicaciones y evaluadores de cumplimiento para evaluar la seguridad de las aplicaciones.