La humanidad había recorrido un largo camino desde el momento en que Internet se convirtió en la corriente principal. Lo que comenzó como un proyecto de investigación ARPANET (Red de agencias de proyectos de investigación avanzada) financiado por DARPA ha crecido exponencialmente y ha revolucionado el comportamiento humano por sí solo.
Es difícil imaginar ahora cómo funcionaba el mundo antes del tiempo de Internet. Ha tocado cada aspecto de la vida humana y ahora es crítico para la existencia diaria. Ningún negocio hoy puede existir sin una presencia en línea. Ya no es solo un medio para compartir información, sino que la economía mundial corre por la web hoy en día.
Intente obtener un sitio web en línea sin ninguna protección, e inmediatamente comenzará a ver algunos impactos de tráfico en su sitio. No es porque su sitio sea algo que todos buscan, sino más bien porque hay bots en Internet que continuamente buscan sitios que puedan ser explotados. Para comprender cómo proteger su sitio, uno debe comprender cómo ocurre un ataque.
¿Cómo y por qué ocurre un ataque?
Los ataques en el sitio ocurren por muchas razones; podría ser robar datos privados, para obtener ganancias financieras o simplemente por razones maliciosas para garantizar que los usuarios genuinos no puedan acceder a su sitio.
Cualquiera sea la razón, un ataque en el sitio web puede ser doloroso y tener un efecto catastrófico. Los atacantes generalmente intentan y aprovechan las vulnerabilidades de seguridad que se encuentran en las aplicaciones; En general, las distintas etapas del ataque pueden pensarse de la siguiente manera.
¿Cómo mantener tu sitio seguro?
«Sea inteligente, comprenda su perfil de riesgo y asegúrese de que su sitio esté siempre protegido».
Uno de los primeros pasos para proteger su sitio es poner su sitio detrás de un firewall o cualquier sistema de prevención de intrusiones, lo que lo ayudaría a proteger el sitio de ataques básicos de reconocimiento.
Sin embargo, eso no es suficiente porque a medida que la tecnología mejora, los atacantes también se están volviendo sofisticados: pueden descubrir las vulnerabilidades del sitio web para explotar incluso si está detrás de un firewall.
Por lo tanto, la mejor defensa es no tener una aplicación vulnerable en la web, y para hacer esto, uno debe identificar las vulnerabilidades encontradas en la aplicación y corregirlas.
Se pueden encontrar vulnerabilidades a través de escaneos automáticos. Existen múltiples escaneos automatizados, pero un buen escáner debería poder rastrear la aplicación, imitar el comportamiento del usuario para identificar diferentes flujos de trabajo e identificar vulnerabilidades.
Dicho esto, la exploración automática por sí sola no es suficiente para garantizar que una aplicación se pruebe a fondo desde una perspectiva de seguridad. Algunas fallas, como la CSRF (falsificación de solicitudes entre sitios) y las vulnerabilidades de la lógica empresarial, requieren que un ser humano esté al tanto para explotar y verificar la vulnerabilidad.
Solo las pruebas manuales de lápiz (MPT) pueden proporcionar identificación y validación manual de estas vulnerabilidades. Cualquier defecto en el que se necesita una verdadera llamada de juicio humano es donde realmente brilla la prueba de la pluma.
Algunas categorías de vulnerabilidades, como problemas de autorización y fallas de lógica de negocios, no se pueden encontrar con evaluaciones automatizadas y siempre requerirán un probador de penetración calificado para identificarlas.
Durante el PT manual, los probadores de penetración entienden la aplicación a través de un recorrido exhaustivo de la aplicación al hablar con el cliente y comprender la naturaleza de la aplicación, lo que les ayuda a comprender y definir casos de prueba de lógica empresarial precisos según la aplicación que necesita ser probada .
Después de esto, prueban la aplicación durante el tiempo de ejecución y descubren vulnerabilidades que se consolidan junto con los resultados de escaneo automatizado y se presentan en informes de prueba completos que incluyen pruebas de concepto y capturas de pantalla de cada vulnerabilidad para descubrir lagunas en un proceso paso a paso. Esencialmente, los expertos realizan piratería ética para identificar vulnerabilidades antes que los atacantes.
Aquí hay algunos ejemplos de fallas de lógica de negocios que los equipos de Pruebas manuales de pluma emprenden en sus escenarios de prueba:
- Carga de archivos maliciosos , donde el equipo de prueba intentará cargar archivos no compatibles a la aplicación y determinar si esos archivos pueden tener algún tipo de impacto grave en el servidor.
- La manipulación de precios y la manipulación de productos en aplicaciones de comercio electrónico donde intentarán cambiar el precio o la cantidad de productos para superar la validación comercial de los precios.
Pen Testing también validará todos los casos de prueba de autorización, en los que intentarán omitir el mecanismo de autorización y acceder a páginas / archivos / datos autorizados de usuarios no autenticados / usuarios menos privilegiados.
Una vez que se encuentran las vulnerabilidades, la vulnerabilidad de la aplicación debe repararse antes de que la aplicación entre en funcionamiento para que no haya ninguna aplicación que sea vulnerable y pueda ser explotada por los atacantes.
Desafortunadamente, aunque muchas organizaciones hacen el mejor esfuerzo para garantizar que sus sitios web y aplicaciones web no sean vulnerables en la web, la realidad entra en acción.
Siempre hay presión sobre las empresas para evolucionar e innovar continuamente, y en esta búsqueda, la seguridad queda en segundo plano. Muchas veces, las organizaciones no tienen la experiencia en seguridad para garantizar que sus sitios estén seguros, por lo que terminan empleando las herramientas incorrectas o las medidas de seguridad que tienen implementadas la mayor parte del tiempo siguen siendo inadecuadas.
