Skip to main content

Web Auditoria bat egitea

Nori zuzendua dago?

Beren negozioaren jarraipena bermatzeko helburuarekin erresilienteagoak izan nahi duten eta zibermehatxuen aurrean babestuago egon nahi duen edozein erakunderi (publikoa edo pribatua), enpresa txiki eta ertainak (ETEak) barne.

Zer da web-auditoria bat?

Web Auditoria batek web-aplikazio baten segurtasun-egoera neurtzea ahalbidetzen du gero ahulezia posibleak detektatu ahal izateko. Horri esker, baimenik ez duen norbaitek ustiatu aurretik, ahulezia horiek zuzen daitezke.

Segurtasuna arriskuan jar dezaketen ahulezien jatorria honako hauekin lotuta egon daiteke: aplikazioaren diseinuan egon daitezkeen akatsak, erroreak ezarpenean, arazoak aplikazioaren logikarekin... Hau da, ahulezia bat aplikazioaren “front-end”ean eta/edo “back-end”ean egon daiteke.

Auditoría webWeb-auditoriak egiteko, proba automatikoak eta eskuzko probak egiten dira irismen mugatu baten gainean. Proba automatikoak ahulezien bila aplikazio osoa arakatzen duten eskaneatzeak dira. Eskuzko probak auditoreak egiten ditu eskuz edo tresna espezifikoren bat erabilita.

Erreplikagarriak eta konparagarriak diren emaitzak izateko eta nolabaiteko ordenari jarraitzeko, web-auditoriak eskuragarri dagoen framework edo metodologiaren bat erabilita egin behar dira. Gehien erabiltzen den eta ezagunenetako bat da OWASP Web Security Testing Framework.

Helburua

Web-auditoria baten helburua da web-aplikazioaren segurtasuna, isilpekotasuna eta/edo eskuragarritasuna arriskuan jar ditzaketen ahuleziak identifikatzen saiatzea. Hala, segurtasun-egoera hobetu eta prebenitu egin daiteke, eta hala arriskuak gutxitu.

Onurak

  • Web-aplikazioan eragina izan dezaketen ahuleziak zein diren identifikatzea.
  • Web-aplikazioan eragina izan dezaketen arriskuak zehaztea eta arriskuari aurre egiteko neurriak hartu ahal izatea.
  • Zibersegurtasuneko jazoera baten inpaktua gutxitzeko babes-neurriak zehaztea eta aplikatzea.

Beneficio

Web Auditoriaren faseak

1. fasea Informazioa lortzea

Lehen fasean, Interneten eskuragarri dagoen informazioa bilatu behar da: Open Source Intelligence (OSINT). OSINT izenekoa Interneten modu publikoan argitaratuta dagoen eta, hori kontsultatuta balio eta erabilgarritasun handiko informazioa lortzea ahalbidetzen duen informazioa da.

Fase honen baitan, bestalde, helburua da webgunearen funtzionamendua ulertzea, orrialdeen arteko nabigazio-fluxuak zehaztea, zati autentikaturik baduen ala ez egiaztatzea eta abar; hau da, aztertu beharreko web-aplikazioaren azterketa egiten da.

2. fasea Eskaneatzea

Jarraian, fase honetan web-aplikazioen gaineko eskaneatzeak egiten dira egon daitezkeen kalteberatasunak bilatzeko. Eskaneatze horiek, gehienetan, tresna automatikoen bidez egiten dira. Horiek orrialde osoa arakatzen dute kalteberatasunen bila eta, amaitutakoan, adituak eskuz eskaneatzen du webgunea eskaneatze automatiko horretan lortutako emaitzetan oinarrituta. Gero, bere irizpidearen arabera, zer kalteberatasun den esanguratsua erabakiko du. Tresna automatikoak aurkitutako kalteberatasunak oinarritzat hartuta, web-aplikazioaren gainean benetako inpakturik ez dutenak edo benetakoak ez direnak (positibo faltsuak) baztertzen dira.

3. fasea Esplotazioa

Eskaneatze-fase horren baitan kalteberatasun esanguratsuenak detektatu ondoren, kalteberatasun horiek web-aplikazioaren gainean eraginik baduten aztertu behar da. Hala horiek arakatu eta arakatze ondoren eraginik baduten aztertu behar da.

4. fasea Dokumentazioa

Aurkitutako kalteberatasunen araketa amaitu eta inpaktua ikusi ostean, fase honetan aurkitutako guztia bildu eta auditoriaren ondoren lortutako aurkikuntza guztiak argi eta modu deskribatzailean dokumentatzen dira.

Non jaso dezaket aholkularitza edo non kontrata dezaket Web Auditoria bat?

BCSCk enpresen esku “Euskadiko Zibersegurtasunaren Liburu Zuria”, jartzen du. Dokumentu horrek gure tokiko ekosistema osoaren egoera jasotzen du berrikuntza, ikerketa, ekintzailetza eta abarrak oinarri dituen ikuspegi ugarirekin. Bertan, zerbitzu mota horiek eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa azaltzen da, horiek eskatzeko interesa duten erakundeek erabakiak hartu behar dituztenean erreferentzia-puntu bat izan dezaten.

Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpena edo irudia jasotzen du; zerrenda bizia da, aldizka berrikusten eta eguneratzen dena, sortzen diren aukeren eta zerbitzuen digitalizazioan etengabeko bilakaera eta aurrerapena gertatzen direlako.

BCSC Liburu Zuria

Erreferentziak

Pentesting baten diseinua OWASP V.4 Metodolgian oinarritutako Web Aplikazio baterako

OWASP Web Security Testing Guide: https://owasp.org/www-project-web-security-testing-guide/

Zer da pentestinga?Zure sistemen segurtasuna auditatzen | INCIBE

Partekatu

Linkedin partekatu