Funcionamiento

La evaluación de seguridad de las aplicaciones está a cargo de los expertos de Kaspersky, que cuentan con experiencia práctica y un profundo conocimiento del funcionamiento de varias aplicaciones, y canalizan su funcionalidad y lógica empresarial. Este análisis de expertos se combina con varias herramientas de automatización, analizadores y scripts.

Portales orientados al cliente sin autenticación de usuario ni registro automático disponible

• Aplicaciones

  • Sitios web oficiales;
  • Portales de noticias

• Tipo de intruso

  • Usuario sin cuenta;
  • Usuario sin conocimiento previo de la aplicación

• Enfoque de la evaluación

  Caja negra: evaluación sin credenciales de usuario para revelar vulnerabilidades al alcance de un atacante externo sin privilegios.

  • - Comprobación de todos los puntos de entrada y parámetros de entrada;
  • - Fuzzing profundo y análisis de comportamiento;
  • - Identificación de componentes de la aplicación (marcos, complementos, bibliotecas, etc.);
  • - Identificación de posibles escenarios de fuga de datos y fraude;
  • - Análisis de herramientas y scripts de gestión o depuración

Ver menos 

Recursos con varios roles de usuario disponibles después de la autenticación

• Aplicaciones

  • Portales de clientes y empresas;
  • ERP/CRM;
  • Sistema de banca en línea

• Tipo de intruso

  • Usuario típico con derechos básicos;
  • Usuario con un rol específico (p. ej., administrador o socio)

• Enfoque de la evaluación

  Caja gris: revela las vulnerabilidades al alcance de los usuarios autenticados.

  • - Análisis de la segregación de los derechos de acceso, incluidos los derechos horizontales y verticales, posibilidad de escalamiento de privilegios;
  • - Análisis de los mecanismos de autenticación, incluidos el inicio de sesión único, la autenticación de varios factores y la gestión de sesiones

Consulte más información 

Aplicaciones con estructura compleja y lógica empresarial

• Aplicaciones

  • Desarrollado en nuestras instalaciones;
  • Desarrollado por un tercero no confiable

• Tipo de intruso

  • Desarrollador con todos los privilegios;
  • Usuario con conocimiento interno avanzado sobre la aplicación

• Enfoque de la evaluación

  Caja blanca: análisis del código fuente y la arquitectura con todos los privilegios.

  • - Implementación total o parcial del banco de pruebas
  • - Análisis del código fuente que abarca todos los parámetros de entrada, así como las funciones y los métodos potencialmente peligrosos
  • - Controles criptográficos
  • - Seguridad de los datos en reposo y en tránsito

Consulte más información