Ingeniera de Software

Prez Susano Juan Emmanuel

3CM7
Son aquellas pruebas que comprueban que los
mecanismos de proteccin integrados en el sistema,
realmente lo protejan de irrupciones inapropiadas.

Se incluyen adems en estas pruebas, las pruebas de
control de acceso, las cuales se encargan de verificar
que solo puedan utilizar el sistema aquellos usuarios
con acceso al mismo puedan utilizarlo.

Acceso a Datos y/o Funciones de negocios
(Aplicacin): Restriccin a funciones
especficas, de acuerdo a los datos disponibles
al tipo de usuario.

Ingresos y Accesos Remotos al Sistema
(Sistema): Solo los usuarios con privilegios
pueden acceder al sistema a travs de las
entradas apropiadas


ste tipo de pruebas debe de asegurarnos que los
usuarios solo accedan a los datos y funciones
especficos a los cuales el usuario tiene autorizado
acceder.
Evaluar el funcionamiento correcto de los
controles de seguridad del sistema para asegurar la
integridad y confidencialidad de los datos

Probar la vulnerabilidad del sistema frente a
accesos o manipulaciones no autorizadas


Una manera de encontrar los casos de
prueba es estudiar problemas conocidos de
seguridad en sistemas similares y tratar de
mostrar la existencia de problemas
parecidos en el sistema que se examina
Controles de acceso fsico

Acceso a estructuras de datos especficas a travs de
los programas de aplicacin.

Seguridad en sitios remotos

Existencia de datos confidenciales en reportes y
pantallas
Controles manuales, incluyendo aquellos para
autorizacin y aprobacin, formularios,
documentacin numerada, transmisin de datos,
balances y conversin de datos.

Controles automticos, incluyendo aquellos para
edicin de datos, chequeo de mquinas, errores del
operador, acceso a datos elementales y archivos, acceso
a funciones, auditora, entre otros

Funciones / Seguridad de Datos: Identificar cada tipo de
usuario y las funciones y datos a los que se debe autorizar.

Crear pruebas para cada tipo de usuario y verificar cada
permiso, creando transacciones especficas para cada tipo
de usuario.

Modificar tipos de usuarios y volver a ejecutar las pruebas.
En cada caso, verificar si los datos o funciones adicionales
quedan correctamente permitidos o denegados.



Para cada tipo de usuario conocido, las funciones y
datos apropiados y todas las transacciones
funcionan como se esperaba.


El acceso al sistema debe ser revisado y discutido
con los administradores de la red y/o del sistema.
Esta prueba puede no ser requerida como tal, sino
como una funcin de los administradores de red o
del sistema.
HP WebInspect es una herramienta de pruebas de
penetracin y seguridad de las aplicaciones web
automatizada y configurable que imita tcnicas y
ataques de piratera del mundo real, permitindole
analizar detalladamente sus aplicaciones web y
servicios complejos en busca de vulnerabilidades de
seguridad.
Ayuda a comprobar que su software es de confianza, a
reducir costes, a aumentar la productividad y a
implementar las mejores prcticas de codificacin
segura. El analizador de cdigo esttico analiza el
cdigo fuente, identifica las causas originarias de las
vulnerabilidades de la seguridad del software y
correlaciona y prioriza los resultados.
La versin Ultimate incluye:
Testeo de aplicaciones de escritorio y web automatizado
Testeo manual
Plugin de Visual Studio
Testeo exploratorio
Costo: $2999.00
Se trata de un programa analizador de protocolos de red o
sniffer, que permite capturar y navegar de forma interactiva
por los contenidos de los paquetes capturados en la red. El
objetivo del proyecto fue crear un analizador de calidad
comercial para Unix. Wireshark funciona muy bien en
Linux y Windows (con una interfaz grfica de usuario), es
fcil de utilizar y puede reconstruir flujos TCP / IP y VoIP.

Permite examinar datos de una red viva o de un archivo de
captura salvado en disco. Se puede analizar la informacin
capturada, a travs de los detalles y sumarios por cada
paquete. Wireshark incluye un completo lenguaje para
filtrar lo que queremos ver y la habilidad de mostrar el flujo
reconstruido de una sesin de TCP.
Kali Linux es una distribucin basada en Debian
GNU/Linux diseada principalmente para la auditora y
seguridad informtica en general. Kali ha sido desarrollado
a partir de la reescritura de BackTrack, que se podra
denominar como la antecesora de Kali Linux.

Kali Linux trae preinstalados numerosos programas
incluyendo Nmap, Wireshark, John the Ripper (un
crackeador de passwords) y la suite Aircrack-ng (Software
para pruebas de seguridad en redes inalmbricas). Kali
puede ser usada desde un Live CD, live-usb y tambin
puede ser instalada como sistema operativo principal.
Nmap (Network Mapper) es una herramienta gratuita
para la exploracin de la red diseada para analizar
rpidamente grandes redes, aunque funciona muy bien
contra equipos individuales. Nmap utiliza paquetes IP para
determinar qu hosts estn disponibles en la red, qu
servicios (nombre de la aplicacin y la versin) ofrecen
estos equipos, qu sistemas operativos (y versiones del
sistema operativo) se estn ejecutando, qu tipo de filtros
de paquetes o cortafuegos estn en uso, y docenas de otras
caractersticas. Nmap se ejecuta en la mayora de los
ordenadores y la consola y versiones grficas estn
disponibles. Nmap es libre y de cdigo abierto.
Anubis es una aplicacin desarrollada por el equipo
Flu Project, diseada para anexionar gran parte de las
herramientas necesarias para los procesos de las
Auditoras de Seguridad y Test de Intrusin dedicados
a la bsqueda de informacin, denominados
Footprinting y Fingerprinting, en una nica
herramienta.

Con sta herramienta se puede descubrir nueva
informacin que de manera manual no se podra
descubrir, gracias a las automatizaciones que lleva
Anubis incorporadas
Competival

Realiza pruebas de Seguridad y de Desempeo

Se enfoca en la mejora de competitividad de las
pequeas y medianas empresas latinoamericanas
dentro del rubro de las TI
Globe Testing

Empresa enfocado a la realizacin de auditoras a las
diversas plataformas para la deteccin de
vulnerabilidades.

Adems realiza pruebas de funcionalidad y
desempeo.