Hoy en día la mayoría de los negocios
trabajan en línea con varias aplicaciones web, en la vida cotidiana, por
ejemplo, realizamos facturación electrónica, pago en tiendas en línea para una compra
fácil, o utilizar la banca por internet para ahorrar, ya que ahora toda La Información se trabaja en forma digital, aunque es
el técnica es nueva de interactuar, se ha incrementado el nivel
de amenazas, es
decir, el acceso no autorizado
es uno estos probables riesgos en las aplicaciones web para acceder a la Información y datos confidenciales tanto personales como de las Transacciones
Privadas que realizan los usuarios de esta tecnología y puede dar como
resultados negativos, es por ello que se requiere de la realización de pruebas
de seguridad para las aplicaciones web
antes de utilizarlas y tener como
consecuencia el mal uso de los datos guardados en las bases de datos que
utilicen.
Las pruebas se pueden
Clasificar en dos Tipos:
Pruebas Estáticas y Pruebas
Dinámicas.
Hay dos Maneras de Llevar un
cabo las Pruebas de Seguridad:
Manual y automatizada.
La prueba dinámica
pone a petición la ejecución de
la aplicación, en la cual se envían
solicitudes a la aplicación y revisa
la respuesta para descubrir algún
indicio del potencial problemas de seguridad, es decir, esta prueba realiza un
análisis solo cuando la aplicación se está ejecutando para generar un escaneo
profundo durante la utilización de la aplicación y encontrar los posibles problemas
con los que cuente esta, y de
esta manera se puedan tomar medidas de seguridad para no tener problemas con
los usuarios.
Con un análisis de vulnerabilidades, Se trata de tomar los datos sobre las vulnerabilidades propias, tecnológicas y no tecnológicas de los aplicativos implicados en el proyecto. Esta actividad se desarrollará con la asistencia de herramientas software diseñadas a tal efecto
La prueba estática analiza la aplicación
mientras está en reposo, ya sea el código fuente o el binario de la aplicación.
Esta es de gran ayuda para la
identificación de ciertos tipos de vulnerabilidades en la forma en que el
código se ejecutará en el dispositivo, ya que generalmente están asociadas al
flujo de datos, es decir, se realiza una verificación de los algoritmos de los cifrados utilizados internamente en la aplicación,
incluyendo la clave de los usuarios para tener mayor seguridad en la autenticidad
y transmisión de datos.
Esta prueba tiene que
realizar una comprobación de mecanismos de depuración y administración de
errores en los registros de las
actividades en los accesos fallidos y exitosos, teniendo un control de sesiones
y gestión de claves.
La prueba manual se
realiza utilizando las herramientas de Proxy en la web, estas pruebas
generalmente tienen como finalidad la identificación de fuga de los datos,
denegación de los servicios, accesos no autorizados.
0 comentarios:
Publicar un comentario