martes, febrero 21, 2012

El Poder (Oscuro) del Testing de Aplicaciones Web

Hacer una auditoría de seguridad web al final se reduce a hacer una fase de testing grande más un poco de, como diría Johnny Long, "mirada hacker y poder Jedi". Y es que, por desgracia, en este mundo de aplicaciones Web se reduce mucho la fase de testing, y eso no es bueno.

Figura 1: Encuentro molesta su carencia de TESTING

Encontrar fallos de seguridad en muchas aplicaciones se reduce a probar valores de entrada que, de haberse realizado una fase de testing medio seria, hubieran aparecido sin problemas y los programadores  no sólo los habrían encontrado, sino que los habrían solucionado.

Así que, si haces aplicaciones que hacen cosas geniales, no desprecies el poder del testing de aplicaciones. Es mejor invertir unas jornadas más que enfrentarse a una multa, o tener que invertir mucho dinero en arreglar la imagen pública tras una intrusión, porque... recuerda: Si tu no haces el testing, otro lo hará por tí... 

Figura 2: No estés demasiado orgulloso de este terror tecnológico que has construido.
La habilidad de destrozar un planeta es insignificante comparada al poder del TESTING

¿En cuantos sitios te ha encontrado tú una vulnerabilidad que se te hace imposible que no la hubieran visto antes?

Saludos Malignos!

5 comentarios:

  1. El mundo esta lleno de jedis y darth vaders, sin duda alguna

    ResponderEliminar
  2. Hola chema,
    Que me recomiendas para una aplicación un poco "mamotratica" hecha sobre ASP.NET/NHibernate
    con las vistas en JavaScript/HTML

    Hay algun paquete o pruebas "basicas" a realizar sobre este entorno?

    Muchas gracias y evidentemente si alguien que no sea chema se anima a proponernos algo, claro esta sera igualmente bien recibida cualquier propuesta!!!

    Q.

    ResponderEliminar
  3. ¿Has probado OWASP ZAP: www.owasp.org?

    ResponderEliminar
  4. y que no nos falten las BBDD de MYSQL, asi tenemos donde escarbar...

    ResponderEliminar

  5. AgileLoad es una solución de pruebas de rendimiento de clase empresarial que optimiza el rendimiento de aplicaciones web.Simula carga de usuarios con Agileload utiliza esta herramienta en aplicaciones de negocio para comprobar el rendimiento sitio web. Si la aplicación no funciona, AgileLoad analiza el comportamiento de rendimiento en profundidad e diagnostica inmediatamente las raíces del problema.

    ResponderEliminar