Auditorías



Auditorías

ANÁLISIS DE SEGURIDAD DE CÓDIGO

Registramos, agrupamos y analizamos evidencias con el fin de concluir si un sistema utiliza eficientemente los recursos o si presenta vulnerabilidades que un atacante potencial podría aprovechar para realizar acciones no permitidas. Realizamos dos tipos principales de auditorías: validación de código estático y análisis de seguridad.

Validación de código

Mediante herramientas especializadas, analizamos el código fuente para detectar malas prácticas, código duplicado o muerto, lógica de negocio incorrecta, elevada complejidad ciclomática, incidencias en estructuras de control, etc...

El lanzamiento de estas pruebas se programa en un servidor de integración continua para disponer de un histórico de ejecuciones y una visión global del estado actual. El objetivo es tener información para tomar acciones con vistas a una mejora continua así como poner en producción un producto con una calidad de código superior a la versión anterior.

Análisis de seguridad

Autentificación, autorización, inyección de código, criptografía… Éstos son algunos de los conceptos que están tomando cada vez más peso gracias a que los ataques a sistemas en línea crecen exponencialmente.

Ofrecemos una visión general del estado del producto segmentando la auditoría en las siguientes fases:

Análisis de código

Una revisión estática de código nos permite detectar defectos como por ejemplo como mostrar información sensible en ficheros de log que pueden ser accesibles.

Lógica de negocio

Enviamos peticiones erróneas, comprobamos la correcta validación de los parámetros, la integridad de los datos, etc.

Seguridad servidor

Comprobamos el comportamiento ante inyecciones de SQL, subida de ficheros incorrectos, el comportamiento ante ataques de denegación de servicio...

Seguridad cliente

Comprobamos redirecciones de URL, el uso de las cookies o inyección de HTML malicioso de modo que la integridad del sistema no se vea afectada.

Otras vulnerabilidades

Múltiples sesiones para una cuenta, páginas de error del servidor, robustez de contraseñas o credenciales no destruidos son un ejemplo de otras entidades que mal implementadas, podrían causar un problema de seguridad al cliente.