SEGURIDAD DE LA INFORMACIÓN

ANÁLISIS DE VULNERABILIDADES WEB

Hoja de Producto 2

Cada día resulta más complejo asegurar nuestro parque tecnológico. La ¿Es necesario un plan de
dificultad se incrementa de manera exponencial cuando la organización acción de seguridad para las
crece y trabajamos con aplicaciones sin garantías de confidencialidad, dispo-
aplicaciones web?
nibilidad e integridad, esto es: vulnerables a la acción criminal.

Para asegurar la información que maneja su empresa, Tekpyme pone en sus La mayoría de las aplicaciones
manos a todo un equipo de trabajo especializado en seguridad informática y web utilizadas incorporan
de la información; analistas y técnicos con una dilatada experiencia en el uso servicios financieros, de
de las mejores y más actualizadas herramientas del mercado. La rápida aten-
gobierno, registro, sanitarios,
ción y una estrecha colaboración profesional respaldan nuestro compromi-
comerciales o de venta;
so y voluntad de servicio.
muchos de ellos críticos.
FLUJO DE RED Las consecuencias de una
infracción, descuido o
negligencia en la seguridad
son tremendas: pérdida
de ingresos, daño a la
ROUTER FIREWALL SWITCH credibilidad, responsabilidad
jurídica y pérdida de
confianza del cliente, pero
también exposición de datos
confidenciales y pérdida de
SERVIDORES control en el gobierno de la
APLICACIONES
WEB información.
Tekpyme desarrolla directivas
orientadas al aseguramiento
eficaz de la información
crítica propietaria. Gracias
a las auditorías y análisis
SERVIDORES
SERVIDORES
DATOS
periódicos de aplicaciones
web, garantizamos las
BASE DE soluciones más eficaces
DATOS EMPRESA
a través de un riguroso
diagnóstico sobre riesgos y
amenazas.
SEGURIDAD DE LA INFORMACIÓN

EL INFORME SOBRE VULNERABILIDADES WEB

Auditoría de Riesgos de Seguridad en Aplicaciones Web 1 ¿Qué metodología y
estándares empleamos para
1. Inyección. Tiene lugar con la recepción (como parte de un comando o consulta) de
datos no confiables, enviados a un intérprete con el objeto de que ejecute dichos auditar sus aplicaciones web
comandos, permitiendo el acceso a datos de manera no autorizada.
2. Autenticación rota y Gestión de Sesiones Análisis orientado hacia los mecanismos
que proveen autenticación y gestión de sesiones, ambos susceptibles de ataques
que comprometen la seguridad de las contraseñas, claves, sesiones o habilitan la
posibilidad de suplantación de cuentas, perfiles e identidades de los usuarios de su
organización.
3. Cross-Site Scripting (XSS) Atiende a la posibilidad de que un atacante ejecute
secuencias de comandos en el navegador de la víctima, a partir de los cuales puede
hacerse con sesiones del usuarios, destruir sitios web o dirigirlos a sitios maliciosos.
Tekpyme Los análisis están
4. Control de acceso a funciones roto Para evitar el acceso no autorizado a las aplica-
basados en el Top 10 de
ciones que no verifican o aplican el control de acceso a su infraestructura y a la
interfaz de usuario. riesgos del proyecto OWASP,
5. Configuración incorrecta de seguridad Posibilita la enmienda de errores (default) Open Web Application
que podrían ser fatales para su entidad a partir de las aplicaciones en uso. Security Project 2017.
6. Exposición de datos sensibles Hace visibles los fallos y debilidades de los sistemas
Dichos riesgos tienen origen
de protección empleados en sus aplicaciones web y API, y que comprometen
credenciales, números de cuenta, contraseñas, bases de datos, etc. en las distintas formas de
7. Insuficiente protección contra ataques sean manuales o automatizados, y para ataque, debilidad o tipos de
garantirar una respuesta sólida más allá de las formas de intrusión básicas. impacto que causan en la
8. Cross-Site Request Forgery (CSRF) A través de esta vulnerabilidad se permite al organización.
atacante forzar el navegador de la víctima para generar peticiones ilegítimas en una
aplicación, a través de una HTTP falsa, que las considera legítimas (provenientes de 1
El servicio incluye un informe por sitio web
la víctima). y servicios online vinculados.  
9. Uso de componentes con vulnerabilidades conocidas Incide en la necesidad de
administrar y/o modificar los privilegios de administrador en los distíntos módulos,
bibliotecas y marcos de la aplicación para imposibilitar la intrusión a través de estos.
10. API sin protección Las API involucradas en las aplicaciones web (JavaScript, SOAP /
XML, REST / JSON, RPC, GWT) contienen vulnerabilidades que exigen ser registradas
y neutralizadas.

¿Qué información proporcionan los datos contenidos en el Informe?

• COMPROBACIÓN CON LAS MEJORES HERRAMIENTAS DEL MERCADO DE MÁS DE 100 VULNERABILIDADES.

• POSIBILIDAD DE PROGRAMAR LOS ANÁLISIS PARA LLEVARLOS A CABO DE FORMA PERIÓDICA.

• ANÁLISIS RIGUROSO DE LAS ÚLTIMAS TECNOLOGÍAS WEB (REST, JSON, AJAX Y SOAP).

• INFORME DETALLADO DE CADA VULNERABILIDAD DETECTADA EN EL ANÁLISIS.

• CATEGORIZACIÓN DE DICHAS VULNERABILIDADES PARA DEFINIR SU RIESGO (ALTO, MEDIO, BAJO).

Calle Imprenta de la Alborada 122 D, Nave 1C - 14014. CÓRDOBA Isla de la Cartuja. C./ Américo Vespucio 25, 41092. SEVILLA.
Tel.: 957 949 415 | comercial@tekpyme.com | www.tekpyme.com Tel.: 955 34 22 11 | comercial@tekpyme.com | www.tekpyme.com