ISSAF Es un framework detallado sobre las pr\u00e1cticas que se deben seguir en un

Issaf es un framework detallado sobre las prácticas

This preview shows page 10 - 13 out of 16 pages.

ISSAF: Es un framework detallado sobre las prácticas que se deben seguir en un testing de seguridad. ISSAF m aneja la información organizada mediante “Criterios de Evaluación”, los cuales a su vez están compuestos por varios elementos, como son: una descripción del criterio de evaluación, puntos y objetivos a cubrir, pre-requisitos que requiere, proceso de este, informe de resultados, medidas y recomendaciones, referencias y documentación. Los criterios de evaluación se encuentran en distintos dominios. Si éste framework no se actualiza podría quedar obsoleto. El campo de aplicación de ISSAF es muy amplio, ya que puede abarcar casi todos los dominios de la organización sin importar su tamaño. Esta metodología nos permite analizar la infraestructura de red, sistemas operativos, aplicaciones y sistemas de
Encabezado: Herramientas de intrusión 11 bases de datos. Presenta cinco certificaciones, una de ellas dedicada a la intrusión como es Penetration Testing Expert (I-PTE). Se necesitan conocimientos medios para su uso. El test de intrusión cubre todas las etapas necesarias. Es una metodología de fácil uso, además esta metodología está bajo la licencia GNU GPL por lo que permite un uso libre para herramientas Open source. Valora el riesgo de forma más teórica que práctica, la evaluación del riesgo la hace basado en tres factores como son: el valor del activo, las amenazas y la vulnerabilidad. OWASP: (Open Web Application Security Project) creado en el 2001, este proyecto lucha contra la causa de software inseguro, pero está dedicada de manera exclusiva a aplicaciones web de las organizaciones. Las pruebas de intrusión están basadas en el ciclo de vida de desarrollo de software. Se hace gran mención del uso de buenas prácticas en los entornos de desarrollo, para obtener código seguro. Es una metodología muy precisa. Es una de las metodologías más utilizadas por los auditores, siempre se usa combinada con otra metodología que cubre algo que ella no alcanza. Está enfocado en las primeras etapas del software mediante el modelado de amenazas. La metodología se divide en tres pasos: modo pasivo, modo activo y la realización del informe final. Vulnerabilidades 1. Vulnerabilidades de desbordamiento de buffer: Esta vulnerabilidad consiste en aprovechar que una aplicación no es capaz de controlar los datos que se almacenan en el buffer, es decir que si la capacidad el buffer es inferior a la cantidad de datos que se quiere almacenar, estos se almacenan en zonas de memorias adyacentes, esto quiere decir que sobrescribe la información previamente almacenada en esta ubicación. Esta brecha de seguridad es utilizada por los atacantes para otorgarse privilegios de administrador. 2. Vulnerabilidades de Inyección SQL: Esta técnica consiste en adjuntar código SQL que no formaba parte del código insertado por el creador de la aplicación, esto conlleva a dar acceso al atacante a información mediante las consultas que adjunte con la técnica que use.
Encabezado: Herramientas de intrusión 12 3.

  • Left Quote Icon

    Student Picture

  • Left Quote Icon

    Student Picture

  • Left Quote Icon

    Student Picture