Please enable JavaScript.
Coggle requires JavaScript to display documents.
Técnicas para detección de vulnerabilidades, image, image, image, image,…
Técnicas para detección de vulnerabilidades
Técnicas más utilizadas actualmente para detección de
vulnerabilidades
Se pueden establecer las siguientes:
Black-box:
Pruebas de penetración:
White-box:
Fuzz testing (pruebas de caja negra):
Análisis dinámico de código:
Análisis estático de código (auditoria de código fuente):
Pruebas activas
Pruebas pasivas:
Black-box
:
Para descubrir vulnerabilidades
En aplicaciones web, probando
La aplicación desde el punto de vista del atacante
White-box
Está del lado del servidor.
En este tipo de enfoque se tiene
Acceso a información relevante de la organización
Fuzz testing (pruebas de caja negra):
Consiste en estimular el sistema
bajo prueba
utilizando datos aleatorios o mutados queridos,
con el fin de
detectar comportamientos
no deseados como violación de
confidencialidad
Pruebas activas
Un programador de subprocesos asignados al azar
Para verificar si las advertencias comunicadas
Por un análisis
predictivo de programa son errores reales
Análisis estático de código (auditoria de código fuente):
Es un método
En el que no se requiere ejecutar
El programa, este realiza un análisis de código fuente
Directo para determinar huecos en la seguridad
Objetivo de descubrir
Vulnerabilidades de seguridad
Problemas de diseño de seguridad,
Potenciales mejoras en las prácticas de programación.
Análisis dinámico de código
:
Se realiza mientras el código se está ejecutando
Es más lento y necesita un proceso completo de testeo
Sin embargo,
Permite ver muchos errores que quedan ocultos en un análisis estático.
Se comunica con la aplicación web a través
de front-end de la aplicación
Tipos de pruebas para el análisis dinámico de código
De caja negra:
El objetivo de estas pruebas es comprobar que las salidas son correctas.
De caja blanca
Se centran en los fallos de procedimiento relativos a las entradas.
Pruebas de penetración
Consiste en la simulación de un ataque de los
maliciosos outssiders
. El proceso implica un análisis activo del
sistema
En busca de posibles vulnerabilidades
Podrían resultar de
configuración deficiente o inadecuada del sistema
fallos de hardware o
software, ya sea conocidos y desconocidos
Fallos operativos en proceso
o contramedidas técnicas
Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales
El análisis estático de código
La ventaja de que se hace
Sin ejecutar el código.
Como no necesita de esa ejecución,
´Permite detectar errores en una fase muy temprana de la escritura.
Pruebas pasivas:
Están diseñadas para el análisis
Del tráfico de telecomunicaciones.
Permite detectar fallas y defectos de
seguridad
Mediante el examen de los paquetes capturados
