definición de las pruebas de seguridad de la aplicación web [duplicar]

1

Cuando las personas hablan sobre las pruebas de seguridad de aplicaciones web, ¿suelen referirse al análisis de vulnerabilidades o las pruebas de penetración? ¿o ambos?

Mi entendimiento es que la prueba con lápiz debe incluir el análisis de vulnerabilidades con la explotación de pasos adicionales, y es una prueba de seguridad de aplicación web completa.

El análisis de vulnerabilidades que realiza normalmente el escáner, y no incluye el paso de explotación. Una vez que se completa el escaneo de vulnerabilidades, podemos continuar con las pruebas de penetración, que pueden usar diferentes herramientas específicas de prueba del lápiz, o mediante un proceso manual.

Por favor comenta. Gracias !!

    
pregunta Ray 28.06.2012 - 06:05
fuente

3 respuestas

1

En una prueba de penetración, los límites y límites de la prueba deben definirse de antemano. La empresa y el pen-tester deben acordar un conjunto de pruebas que pueden realizarse, con documentos legales redactados para proteger a ambas partes antes de que se realice la prueba.

Para una prueba detallada, debería incluir el paso de explotación para probar completamente el sistema. La prueba de penetración se debe llevar a cabo según una metodología específica paso a paso para garantizar que no se pierda nada.

    
respondido por el Ayrx 28.06.2012 - 08:24
fuente
0

Una prueba de penetración incluye múltiples aspectos importantes,

A) Antes de la prueba de penetración, la Compañía (A) y la Compañía (P-T) deben definir los límites, qué se debe probar, qué, cómo, dónde, cuándo. A veces, la compañía (A) proporciona una computadora portátil de prueba, con herramientas solicitadas por el comprobador de penetración. Se crean documentos legales, para garantizar la seguridad de ambas empresas.

B) Siguiendo los documentos legales y el tipo de pruebas de penetración solicitadas por la compañía (A) y la ofrecida por la Compañía (P-T), el probador de penetración irá paso a paso para encontrar fallas en el sistema.

Por ejemplo, se le puede pedir a un comprobador de penetración que siga una metodología específica como ISSAF u OWASP, OSSTMM, NIST siguiendo los requisitos de la Compañía (A). Algunas compañías (P-T) también tienen metodologías propias y específicas para trabajar.

Algunas compañías pueden pedirle al probador de penetración que explote las vulnerabilidades, mientras que otras pueden solo pedirle al probador de penetración que le recomiende posibles vulnerabilidades, todo depende de sus necesidades. (Tener el paso "explotar" siempre es mejor, pero a veces se debe evitar, en casos particulares)

Una prueba de penetración siempre debe ser realizada por alguien que sepa lo que está haciendo, a menudo algunas compañías intentan replicar las pruebas de penetración y tienen problemas debido a su falta de conocimiento (herramientas, impacto, etc.), siempre debe ser un documento legal , una metodología adecuada, y en algunos casos un supervisor.

    
respondido por el noktec 28.06.2012 - 12:05
fuente
0

El orador no siempre sabe la diferencia entre "exploración de vulnerabilidades" y "pruebas de penetración", por lo que a menudo es bueno preguntarles exactamente qué quieren / imaginan.

    
respondido por el chao-mu 28.06.2012 - 22:36
fuente

Lea otras preguntas en las etiquetas