Auditoria de Vulnerabilidades de Sistemas Web

El servicio de auditorí­a de vulnerabilidades de Sistemas Web, tiene como objetivo encontrar fallas o debilidades presentes en una aplicación web del Estado Paraguayo, de modo a que puedan ser corregidas y/o mitigadas. Se trata de un servicio bajo demanda, especialmente para desarrollos a medida en el ambiente web, buscando minimizar las vulnerabilidades expuestas en sistemas gubernamentales y aumentar los niveles de seguridad de los mismos.

Alcance

Este servicio se brinda exclusivamente a organismos y entidades del Estado (OEE) paraguayo.

Se encuentra limitado a sistemas basados en tecnologí­a web. Actualmente no se incluyen auditorias de software de escritorio, ni aplicaciones móviles.

El servicio de auditorí­a de vulnerabilidades web puede ser solicitado por las Organizaciones del Estado Paraguayo (OEE) para la auditoria de sus sistemas, ya sea desarrollados internamente o tercerizados.

Este servicio solo aplica a:

• Aplicaciones web nuevas, antes de que entren a producción
• Aplicaciones web existentes que todaví­a no hayan sido auditadas

No se realiza una prueba de penetración, limitando la auditoria a identificar una vulnerabilidad y probarla mí­nimamente para descartar falso positiva (prueba de concepto), sin llegar a explotarla para realizar un daño.

No se realizarán pruebas de funcionalidad, usabilidad ni rendimiento. En general, no se realizarán pruebas de denegación de servicio, a excepción de técnicas especí­ficas de servidores web (ej.: SlowHTTP), las cuales deberán ser solicitadas explí­citamente a la hora de solicitar el servicio.

Tipo de Servicio

El servicio de auditorí­as de vulnerabilidades de sistemas web se dividen en los siguientes tipos:

- Prueba externa: se trata de una auditorí­a en la que se busca las vulnerabilidades desde el punto de vista de un atacante externo. Las pruebas externas, a su vez, se dividen en dos tipos:

• Blackbox
• Greybox

- Verificación de cumplimiento de criterios de seguridad del software