![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhbi-xVlLXdqW4DijDTn0omdLudJ1EOf5dz0U9Ze-ElWAnqF6kyXYj4-s_-T2ZaAhpaON_-kMNbbXbZqf9fvvoCmZxptWPTh0QWv53K7lXyYklk3f29j6vCeKlwOJqAWAHwHBsjlXJ8uu0GhVockA4Ei61Eb7CRKAlD2Z4z7SnaDpUaQI0VHm26f_9X\/s728-e100\/pentest.png\")
<\/div>\nLas aplicaciones web, a menudo en forma de software como servicio (SaaS), son ahora la piedra angular de las empresas de todo el mundo. Las soluciones SaaS han revolucionado la forma en que operan y brindan servicios, y son herramientas esenciales en casi todas las industrias, desde finanzas y banca hasta atenci\u00f3n m\u00e9dica y educaci\u00f3n. <\/p>\n
La mayor\u00eda de los CTO de startups tienen una excelente comprensi\u00f3n de c\u00f3mo crear negocios SaaS altamente funcionales pero (dado que no son profesionales de la seguridad cibern\u00e9tica) necesitan obtener m\u00e1s conocimiento sobre c\u00f3mo proteger la aplicaci\u00f3n web que la sustenta. <\/p>\n
\u00bfPor qu\u00e9 probar sus aplicaciones web? <\/h2>\n
Si es un CTO en una startup de SaaS, probablemente ya sepa que el hecho de que sea peque\u00f1o no significa que no est\u00e9 en la l\u00ednea de fuego. El tama\u00f1o de una startup no la exime de ataques cibern\u00e9ticos, eso se debe a que los piratas inform\u00e1ticos escanean constantemente Internet en busca de fallas que puedan explotar. Adem\u00e1s, solo se necesita una debilidad y los datos de sus clientes podr\u00edan terminar en Internet. Se necesitan muchos a\u00f1os para construir una reputaci\u00f3n como empresa emergente, y esto puede arruinarse de la noche a la ma\u00f1ana con un solo defecto.<\/p>\n
De acuerdo a investigaci\u00f3n reciente de Verizon<\/a>, los ataques a aplicaciones web est\u00e1n involucrados en el 26 % de todas las infracciones, y la seguridad de las aplicaciones es una preocupaci\u00f3n para \u00be de las empresas. Este es un buen recordatorio de que no puede darse el lujo de ignorar la seguridad de las aplicaciones web si desea mantener seguros los datos de sus clientes.<\/p>\n La pirater\u00eda es cada vez m\u00e1s automatizada e indiscriminada, por lo que las nuevas empresas son tan vulnerables a los ataques como las grandes empresas. Pero no importa d\u00f3nde se encuentre en su viaje de seguridad cibern\u00e9tica, proteger sus aplicaciones web no tiene por qu\u00e9 ser dif\u00edcil. Es \u00fatil tener un poco de conocimiento previo, as\u00ed que aqu\u00ed est\u00e1 nuestra gu\u00eda esencial para poner en marcha las pruebas de seguridad de su aplicaci\u00f3n web. <\/p>\n Donde los atacantes aprovechan las vulnerabilidades para ejecutar c\u00f3digo malicioso en su base de datos, potencialmente robando o descargando todos sus datos y accediendo a todo lo dem\u00e1s en sus sistemas internos mediante la puerta trasera del servidor. <\/p>\n 2 \u2014 XSS (secuencias de comandos entre sitios) <\/b><\/p>\n Aqu\u00ed es donde los piratas inform\u00e1ticos pueden apuntar a los usuarios de la aplicaci\u00f3n y permitirles llevar a cabo ataques como la instalaci\u00f3n de troyanos y keyloggers, apoderarse de las cuentas de los usuarios, llevar a cabo campa\u00f1as de phishing o robo de identidad, especialmente cuando se usa con ingenier\u00eda social. <\/p>\n Estos permiten a los atacantes leer los archivos que se encuentran en un sistema, lo que les permite leer el c\u00f3digo fuente, los archivos confidenciales del sistema protegidos y capturar las credenciales que se encuentran en los archivos de configuraci\u00f3n, e incluso pueden conducir a la ejecuci\u00f3n remota de c\u00f3digo. El impacto puede variar desde la ejecuci\u00f3n de malware hasta que un atacante obtenga el control total de una m\u00e1quina comprometida. <\/p>\n Este es un t\u00e9rmino general para las debilidades en la administraci\u00f3n de sesiones y la administraci\u00f3n de credenciales, donde los atacantes se hacen pasar por usuarios y usan ID de sesi\u00f3n secuestradas o credenciales de inicio de sesi\u00f3n robadas para acceder a las cuentas de los usuarios y usar sus permisos para explotar las vulnerabilidades de las aplicaciones web. <\/p>\n Estas vulnerabilidades pueden incluir fallas sin parches, p\u00e1ginas caducadas, archivos o directorios desprotegidos, software desactualizado o software en ejecuci\u00f3n en modo de depuraci\u00f3n. <\/p>\n Las pruebas de seguridad web para aplicaciones generalmente se dividen en dos tipos: an\u00e1lisis de vulnerabilidades y pruebas de penetraci\u00f3n: <\/p>\n Esc\u00e1neres de vulnerabilidad<\/strong><\/a> son pruebas automatizadas que identifican vulnerabilidades en sus aplicaciones web y sus sistemas subyacentes. Est\u00e1n dise\u00f1ados para descubrir una variedad de debilidades en sus aplicaciones, y son \u00fatiles porque puede ejecutarlos cuando lo desee, como un mecanismo de seguridad detr\u00e1s de los cambios frecuentes que debe realizar en el desarrollo de aplicaciones.<\/p>\n Pruebas de penetraci\u00f3n<\/strong>: estas pruebas de seguridad manuales son m\u00e1s rigurosas, ya que son esencialmente una forma controlada de pirater\u00eda. Le recomendamos que los ejecute junto con el escaneo de aplicaciones m\u00e1s cr\u00edticas, especialmente aquellas que est\u00e1n experimentando cambios importantes.<\/p>\n Gran parte de su superficie de ataque se puede ocultar detr\u00e1s de una p\u00e1gina de inicio de sesi\u00f3n. El escaneo de aplicaciones web autenticadas lo ayuda a encontrar vulnerabilidades que existen detr\u00e1s de estas p\u00e1ginas de inicio de sesi\u00f3n. Si bien es muy probable que los ataques automatizados dirigidos a sus sistemas externos lo afecten en alg\u00fan momento, es posible un ataque m\u00e1s espec\u00edfico que incluya el uso de credenciales. <\/p>\n Si su aplicaci\u00f3n permite que cualquier persona en Internet se registre, entonces podr\u00eda estar expuesto f\u00e1cilmente. Adem\u00e1s, la funcionalidad disponible para los usuarios autenticados suele ser m\u00e1s potente y sensible, lo que significa que es probable que una vulnerabilidad identificada en una parte autenticada de una aplicaci\u00f3n tenga un mayor impacto. <\/p>\n Pero probar antes y m\u00e1s r\u00e1pido es casi imposible sin la automatizaci\u00f3n. El esc\u00e1ner de aplicaciones web automatizado de Intruder est\u00e1 disponible para probarlo de forma gratuita antes de comprarlo. Inscribirse<\/a> a una prueba gratuita hoy y experim\u00e9ntelo de primera mano. <\/p>\n <\/p>\nTanto para startups como para empresas <\/h2>\n
\u00bfCu\u00e1les son las vulnerabilidades comunes? <\/h2>\n
1 \u2014 Inyecci\u00f3n SQL <\/h4>\n
\n<\/ol>\n
3 \u2014 Recorrido de ruta <\/h4>\n
\n<\/ol>\n
4 \u2014 Autenticaci\u00f3n rota <\/h4>\n
\n<\/ol>\n
5 \u2014 Configuraci\u00f3n incorrecta de la seguridad <\/h4>\n
\n<\/ol>\n
\u00bfC\u00f3mo probar vulnerabilidades? <\/h2>\n
Vaya m\u00e1s all\u00e1 con el escaneo ‘autenticado’<\/h2>\n
\n\n
\n ![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjlPFC4pMbEORcpwnJzpMiuWHEnLhU6Oc4pxjW8hDRy18CuXUbLkyQXsQkpL7AwXiKVmJ7ZHN1t1y3dNdHCUttqymsgckiP8tFjgxr3jHd77-TFHy2jBT0qcUVgpvPb3o8mjzluVbOnxRPO1PXhZUZqv6yYHudIzF5alK8XhkSnat-zfuiVeFze-lZY\/s728-e100\/pentesting.png\")
<\/td>\n<\/tr>\n\n Intruder realiza revisiones en sus servidores, sistemas en la nube y dispositivos de punto final de acceso p\u00fablico y privado para mantenerlo completamente protegido.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n