¿Dónde puedo obtener la lista de empresas que proporcionan seguridad de aplicaciones web?

La industria del software ha logrado un sólido reconocimiento en esta era. Sin embargo, en la última década, el mundo cibernético parece ser aún más dominante e impulsor, lo que está dando forma a las nuevas formas de casi todos los negocios. Los sistemas ERP basados ​​en la web utilizados hoy son la mejor evidencia de que TI ha revolucionado nuestra querida aldea global.

En estos días, los sitios web no solo están destinados a publicidad o marketing, sino que se han convertido en herramientas más sólidas para satisfacer las necesidades comerciales completas. Los sistemas de nómina basados ​​en la web, los centros comerciales, la banca, la aplicación de comercio de acciones no solo están siendo utilizados por las organizaciones, sino que también se venden como productos en la actualidad.

Esto significa que las aplicaciones en línea han ganado la confianza de los clientes y

usuarios con respecto a su característica vital denominada SEGURIDAD. Sin duda, el factor de seguridad también es de gran valor para las aplicaciones de escritorio. Sin embargo, cuando hablamos de web, la importancia de la seguridad aumenta exponencialmente. Si un sistema en línea no puede proteger los datos de la transacción, nadie pensará en usarlo. Seguridad no es una palabra en busca de su definición todavía, ni es un concepto sutil.

Ahora, te presento una definición más simple de Seguridad en mis propias palabras. “Seguridad significa que se otorga acceso autorizado a los datos protegidos y se restringe el acceso no autorizado” . Entonces, tiene dos aspectos principales; primero es la protección de datos y el segundo es el acceso a esos datos. Además, ya sea que la aplicación sea de escritorio o basada en la web, la seguridad gira en torno a los dos aspectos antes mencionados. Permítanos tener una visión general de los aspectos de seguridad para aplicaciones de software basadas en escritorio y web.

Técnicas de prueba de seguridad:

1) Acceso a la aplicación:

Ya sea que se trate de una aplicación de escritorio del sitio web, la seguridad de acceso se implementa mediante ‘Roles and Rights Management’. A menudo se realiza de manera implícita mientras se cubre la funcionalidad, en un sistema de gestión hospitalaria, un recepcionista está menos preocupado por las pruebas de laboratorio, ya que su trabajo es simplemente registrar a los pacientes y programar sus citas con los médicos. Por lo tanto, todos los menús, formularios y pantallas relacionados con las pruebas de laboratorio no estarán disponibles para el rol de ‘recepcionista’. Por lo tanto, la implementación adecuada de roles y derechos garantizará la seguridad del acceso.

Cómo probar: Para probar esto, se deben realizar pruebas exhaustivas de todos los roles y derechos. Tester debería crear varias cuentas de usuario con roles diferentes y múltiples. Luego, debe usar la aplicación con la ayuda de estas cuentas y debe verificar que cada rol tenga acceso solo a sus propios módulos, pantallas, formularios y menús. Si el probador encuentra algún conflicto, debe registrar un problema de seguridad con total confianza.

2. Protección de datos:

Hay otros tres aspectos de la seguridad de los datos. El primero es que un usuario puede ver o utilizar solo los datos que se supone que debe usar . Esto también está garantizado por roles y derechos, por ejemplo, un TSR (representante de televentas) de una empresa puede ver los datos del stock disponible, pero no puede ver cuánta materia prima se compró para la producción.

Entonces, la prueba de este aspecto ya se explicó anteriormente. El segundo aspecto de la protección de datos está relacionado con cómo se almacenan esos datos en la base de datos . Todos los datos confidenciales deben estar encriptados para que sean seguros. El cifrado debe ser fuerte, especialmente para datos confidenciales como contraseñas de cuentas de usuario, números de tarjetas de crédito u otra información crítica de negocios. El tercer y último aspecto es la extensión de este segundo aspecto. Deben adoptarse medidas de seguridad adecuadas cuando se produce el flujo de datos confidenciales o críticos para el negocio. Si estos datos flotan entre diferentes módulos de la misma aplicación, o si se transmiten a diferentes aplicaciones, deben cifrarse para que sean seguros.

Cómo probar la protección de datos: el probador debe consultar en la base de datos las ‘contraseñas’ de la cuenta de usuario, la información de facturación de los clientes, otros datos comerciales críticos y confidenciales y debe verificar que todos esos datos estén guardados en forma cifrada en la base de datos. Del mismo modo, debe verificar que, entre diferentes formas o pantallas, los datos se transmiten después de un cifrado adecuado. Además, el probador debe asegurarse de que los datos cifrados se descifren correctamente en el destino. Se debe prestar especial atención a las diferentes acciones de ‘envío’. El probador debe verificar que cuando la información se transmite entre el cliente y el servidor, no se muestra en la barra de direcciones del navegador web en un formato comprensible. Si alguna de estas verificaciones falla, la aplicación definitivamente tiene fallas de seguridad.

3. Ataque de fuerza bruta:

Brute Force Attack se realiza principalmente por algunas herramientas de software. El concepto es que utilizando un ID de usuario válido, el software intenta adivinar la contraseña asociada intentando iniciar sesión una y otra vez. Un ejemplo simple de seguridad contra dicho ataque es la suspensión de la cuenta por un corto período de tiempo como lo hacen todas las aplicaciones de correo como ‘Yahoo’ y ‘Hotmail’. Si un número específico de intentos consecutivos (en su mayoría 3) no puede iniciar sesión con éxito, entonces esa cuenta se bloquea por un tiempo (30 minutos a 24 horas).

Cómo probar el ataque de fuerza bruta: el probador debe verificar que algún mecanismo de suspensión de la cuenta esté disponible y funcione con precisión. (S) Debe intentar iniciar sesión con ID de usuario y contraseñas no válidas alternativamente para asegurarse de que la aplicación de software bloquea las cuentas que continuamente intentan iniciar sesión con información no válida. Si la aplicación lo está haciendo, es segura contra ataques de fuerza bruta. De lo contrario, el probador debe informar esta vulnerabilidad de seguridad.

Los tres aspectos de seguridad anteriores deben tenerse en cuenta tanto para aplicaciones web como de escritorio, mientras que los siguientes puntos están relacionados solo con aplicaciones basadas en web.

4. Inyección SQL y XSS (secuencias de comandos de sitios cruzados):

Conceptualmente hablando, el tema de estos dos intentos de piratería es similar, por lo que se discuten juntos. En este enfoque, los hackers utilizan un script malicioso para manipular un sitio web . Hay varias formas de inmunizarse contra tales intentos. Para todos los campos de entrada del sitio web, las longitudes de los campos deben definirse lo suficientemente pequeñas como para restringir la entrada de cualquier secuencia de comandos, por ejemplo, el apellido debe tener una longitud de campo de 30 en lugar de 255. Puede haber algunos campos de entrada donde es necesaria una entrada de datos grande, para dichos campos propiamente dicho. La validación de la entrada debe realizarse antes de guardar esos datos en la aplicación. Además, en dichos campos se debe prohibir cualquier etiqueta html o entrada de etiqueta de script. Para provocar ataques XSS, la aplicación debe descartar los redireccionamientos de scripts de aplicaciones desconocidas o no confiables.

Cómo probar la inyección SQL y XSS: el probador debe garantizar que las longitudes máximas de todos los campos de entrada estén definidas e implementadas. (S) También debe asegurarse de que la longitud definida de los campos de entrada no tenga en cuenta ninguna entrada de script ni entrada de etiqueta. Ambos pueden probarse fácilmente, por ejemplo, si 20 es la longitud máxima especificada para el campo ‘Nombre’; y la cadena de entrada “

thequickbrownfoxjumpsoverthelazydog” puede verificar ambas restricciones. El probador también debe verificar que la aplicación no admite métodos de acceso anónimo. En caso de que exista alguna de estas vulnerabilidades, la aplicación está en peligro.

5. Puntos de acceso al servicio (sellado y seguro abierto)

Hoy en día, las empresas dependen y colaboran entre sí, lo mismo vale para las aplicaciones, especialmente los sitios web. En tal caso, ambos colaboradores deben definir y publicar algunos puntos de acceso entre sí. Hasta ahora, el escenario parece bastante simple y directo, pero, para algunos productos basados ​​en la web, como el comercio de acciones, las cosas no son tan simples y fáciles. Cuando hay una gran cantidad de público objetivo, los puntos de acceso deben estar lo suficientemente abiertos como para facilitar a todos los usuarios, acomodarse lo suficiente como para cumplir con todas las solicitudes de los usuarios y lo suficientemente seguros como para hacer frente a cualquier prueba de seguridad.

Cómo probar los puntos de acceso al servicio: Permítanme explicarlo con el ejemplo de la aplicación web de comercio de acciones; Un inversor (que quiera comprar las acciones) debe tener acceso a los datos actuales e históricos de los precios de las acciones. El usuario debe tener la posibilidad de descargar estos datos históricos. Esto exige que la aplicación sea lo suficientemente abierta. Por complaciente y seguro, me refiero a que la aplicación debería facilitar a los inversores comerciar libremente (según las regulaciones legislativas). Pueden comprar o vender 24/7 y los datos de las transacciones deben ser inmunes a cualquier ataque de piratería. Además, un gran número de usuarios interactuará con la aplicación simultáneamente, por lo que la aplicación debe proporcionar un punto de acceso de número suficiente para entretener a todos los usuarios.

En algunos casos, estos puntos de acceso pueden sellarse para aplicaciones o personas no deseadas . Esto depende del dominio comercial de la aplicación y sus usuarios, por ejemplo, un sistema de gestión de Office personalizado basado en la web puede reconocer a sus usuarios sobre la base de las direcciones IP y se niega a establecer una conexión con todos los demás sistemas (aplicaciones) que no se encuentran en el rango de IP válidas para esa aplicación.

El probador debe garantizar que todo el acceso entre redes e intra-red a la aplicación provenga de aplicaciones, máquinas (IP) y usuarios confiables. Para verificar que un punto de acceso abierto sea lo suficientemente seguro, el probador debe intentar acceder a él desde diferentes máquinas que tengan direcciones IP confiables y no confiables. Se deben probar diferentes tipos de transacciones en tiempo real de forma masiva para tener una buena confianza del rendimiento de la aplicación. Al hacerlo, también se observará claramente la capacidad de los puntos de acceso de la aplicación.

El probador debe asegurarse de que la aplicación entretenga todas las solicitudes de comunicación de IP y aplicaciones confiables solo mientras se rechazan todas las demás solicitudes. Del mismo modo, si la aplicación tiene algún punto de acceso abierto, el probador debe asegurarse de que permite (si es necesario) la carga de datos por parte de los usuarios de manera segura. Por esta forma segura, quiero decir, el límite de tamaño de archivo, la restricción de tipo de archivo y el escaneo de archivos cargados en busca de virus u otras amenazas de seguridad. Así es como un probador puede verificar la seguridad de una aplicación con respecto a sus puntos de acceso.

Avani es un proveedor líder de soluciones de seguridad en el espacio de seguridad de TI.

Sin embargo, para responder solo a su pregunta, puede consultar una lista en este enlace;

Los 20 principales proveedores de servicios de pruebas de software: empresas de pruebas de software

Fuente: Hoja de trucos de pruebas de seguridad de aplicaciones web

Related Content

Marcos de aplicaciones web: ¿Por qué a la gente ya no le gusta Struts 2? ¿Qué funciona mejor y por qué?

¿Qué idiomas debo usar para crear un juego web simple que requiera autenticación de usuario? ¿Es MEAN una buena opción?

¿Las herramientas como http://homestead.com y http://Wix.com realmente matan el verdadero diseño y desarrollo web?

¿Qué marco debo usar para mi nueva aplicación web multiplataforma basada en bases de datos?

¿Cómo se crea un rastreador web?

Neil K. Jones, gerente de segmento de mercado de IBM:

Hay varios analistas de la industria de TI que cubren el espacio de seguridad de la aplicación. Por ejemplo, puede consultar el Cuadrante Mágico de Gartner 2017 para Pruebas de Seguridad de Aplicaciones o la ola de Forrester: seguridad de la aplicación, cuarto trimestre de 2014 gratis. Ambos informes le proporcionan resúmenes convenientes de los principales proveedores de la industria, sin un gran compromiso de tiempo de su parte.

Si está considerando una inversión financiera en tecnología de prueba de seguridad de aplicaciones, le recomiendo que consulte mi reciente blog titulado, “5 pasos para seleccionar eficazmente un proveedor de pruebas de seguridad de aplicaciones”. El blog le proporciona un enfoque integral para evaluar los proveedores de seguridad de aplicaciones, siguiendo los siguientes pasos directos:

  1. Familiarizarse con los líderes del mercado de pruebas de seguridad de aplicaciones.
  2. Ponerse al día en la gestión de riesgos de seguridad de aplicaciones.
  3. Pruebe las soluciones antes de comprarlas.
  4. Preparando un caso de negocios para su equipo ejecutivo.
  5. Revisión de testimonios de clientes y contenido de casos de estudio.

Avíseme si tiene preguntas de seguimiento y me complacerá responderlas. ¡Gracias!”

Cualquier información que proporcione IBM no es asesoramiento legal.

Ishan Mathur

Hola,

La seguridad de TI es la mayor necesidad de hoy.

Immunity Networks es una empresa proveedora de servicios y soluciones de consultoría de seguridad informática con oficinas en Mumbai, India y Dubai, EAU.

Immunity Networks & Technologies proporciona servicios de seguridad de TI personalizados altamente confiables de extremo a extremo junto con un alto nivel de soporte técnico. ¡Obtenga Cyber ​​Security para todas sus necesidades!

Ishan Mathur

Hay disponible una larga lista de compañías de seguridad cibernética, pero voy a enumerar las 10 principales compañías y es la siguiente:

  1. Entersoft
  2. root9B
  3. Mimecast
  4. FireEye
  5. Lockheed Martin
  6. Sophos
  7. Symantec
  8. Seguridad de IBM
  9. Cisco
  10. BAE Systems
Simcha Lazarus

Puede encontrar una lista de soluciones de seguridad de aplicaciones que utilizan las empresas de nivel empresarial aquí: Las mejores soluciones de seguridad de aplicaciones.

Le recomiendo que lea las reseñas de los usuarios para ver lo que las personas tienen que decir sobre sus experiencias al trabajar con cada una de las soluciones.

Y si está buscando comprar una herramienta de seguridad de aplicaciones, este artículo, Cómo elegir una solución de seguridad de aplicaciones, ofrece algunos consejos útiles sobre qué preguntas hacer y qué buscar al investigar y elegir una herramienta.

Simcha Lazarus

Hay un montón de mercado. Categoría: Herramientas de exploración de vulnerabilidades es la lista a seguir, pero debe buscar específicamente en IndusGuard Web Advanced.

Simcha Lazarus

Hay varias empresas disponibles que ofrecen #WebApplicationSecurity a un costo asequible. Entendiendo la necesidad del cliente, descubriendo las soluciones de seguridad de aplicaciones web en # avyaan.com

Simcha Lazarus

More Interesting

¿Qué se debe considerar al diseñar una API web para aplicaciones móviles?

¿Qué es un buen libro para aprender buen diseño?

¿Cuáles son los mejores CMS o plataformas para construir mi propio sitio web para vender mis canciones?

Cómo predecir las tendencias tecnológicas futuras en el desarrollo de aplicaciones web

¿Hay espacio para otra aplicación de facturación basada en la web?

¿Cómo puedo crear ideas de turismo en línea basadas en la web en Bangladesh?

¿Cuál es la diferencia entre ingeniería web y tecnología web?

Cómo medir mi ROI después de invertir en un nuevo sitio web

¿Qué tipo de aplicaciones utiliza para realizar un seguimiento de los cómics web que lee?

¿Cuáles son algunos trucos del inspector web que usa para el desarrollo web?

Cómo comenzar a construir una aplicación web usando React

¿Qué necesito aprender para crear un sitio de reserva de restaurante simple como toptable?

¿Cuál es la arquitectura perfecta para una aplicación web basada en SaaS multiinquilino?

¿Qué extrañaré si no uso WhatsApp y Facebook?

Estoy pensando en desarrollar una aplicación de servidor cliente corporativo usando Uniface. ¿Cómo se han desarrollado tus experiencias en Uniface? ¿Qué otras herramientas considerarías evaluar?