Hacking Ético - Top 5 de las vulnerabilidades encontradas

Datasec ofrece desde hace años servicios de escaneo de vulnerabilidades y test de penetración. De esa experiencia hemos seleccionado las 5 vulnerabilidades que hallamos de forma más frecuente y que tienen un impacto potencial alto para las organizaciones.

Datasec ofrece desde hace años servicios de escaneo de vulnerabilidades y test de penetración. De esa experiencia hemos seleccionado las 5 vulnerabilidades que hallamos de forma más frecuente y que tienen un impacto potencial alto para las organizaciones:

1. Versiones desactualizadas del software: solemos encontrarnos con software desactualizado con vulnerabilidades conocidas. Puede ser el gestor de contenido de turno (Drupal, Joomla, Wordpress, etc.), el sistema operativo del servidor mismo o algún componente usado en el sitio (JQuery, Bootstrap, etc.).  Así que, ¡actualizar!

2. Mensajes de error o excepción en la aplicación: al producirse una excepción, bien por mal control de las entradas (el tipo de dato y/o su largo) o por características de la misma tecnología (la introducción de algunos caracteres considerados peligrosos en aplicaciones ASP.NET con la característica validate Request en "true") simplemente se muestra la excepción al usuario en pantalla. No reveles más información de la necesaria: si alguien te va a atacar ¡que no sea con tú ayuda!

3. Formularios de contacto sin captcha: sobre todo cuando se trata de sitios cuya disponibilidad es relevante, el hecho de no contar con algún mecanismo que impida automatizar el envío masivo de request puede conllevar que se sature o caiga el sitio mismo o bien un servidor de correo usado para enviar notificaciones.

4. SQL Injection: una antigua pero asidua asistente en toda lista de vulnerabilidades, la inyección de SQL se produce cuando no se filtra adecuadamente caracteres que provocan la ejecución de sentencias en nuestro motor de base de datos.

5. Soporte de protocolos obsoletos: es común encontrarnos con protocolos como SSL 2.0 soportados, cuando son protocolos con debilidades conocidas y que deberían ser sustituidos por SSL 3 o TLS en su lugar. ¿Qué protocolos soporta tú servidor?

Si desea obtener más información sobre nuestros servicios de Hackeo Ético o Escaneo de Vulnerabilidades, consulte al mail contacto@datasec-soft.com 

 

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

ISO27001

Social