Desarrollo del web security tester

Published by sofisticnet on Sun, 27/03/2011 - 10:00

Tras realizar varias auditorías de seguridad web a mano, Sofistic se interesó por mecanismos que permitiesen automatizar buena parte de ellas. Por este motivo, buscó el software disponible en la red para cumplir dicho objetivo.

Tras estudiarlo, el mejor software que existía era de código cerrado, algo que no cumple con las necesidades de Sofistic, puesto que no permite adaptarlo a nuevas auditorías ni vulnerabilidades de seguridad, así como tampoco asegura que no recaba información acerca de nuestros clientes. Por otra parte, todo el software libre que se encontró, tenía graves necesidades estructurales,por lo que no servía para realizar una base sólida.

En base a la información recabada se ha planteado el desarrollo de una herramienta, el Web Security Tester, con el objetivo de equipararse a las herramientas de codigo cerrado existentes en el mercado.

Noticias relacionadas

Evolución del Gabinete I+D

Gracias a la ayuda del programa EXPANDE de IMPIVA cofinanciado por los fondos FSE, Sofistic a llevado a cabo la consolidación de su Gabinete de I+D. Durante el apoyo en 2010 se puso de manifiesto la necesidad de mantener este gabinete he incorporalo a los procesos de decisión estratégica de la empresa.

Como resultado de la evolución del Gabinete de I+D y la colaboración con la Universitat Jaume I, se han identificado las tecnologías que marcarán el rumbo durante 2012. Por ello Sofistic a incorporado a su catálogo de productos nuevos servicios de comercio electrónico y mejorado los productos existentes.

La protección en la web un punto flaco de los desarrollos

Debido a la fuerte especialización de Sofistic en el área de la Seguridad informática, a diario se ven casos de delitos o perdida de información, que tienen como origen fallos en el desarrollo de las plataformas web o portales corporativos de las empresas.

Por ello se ha planteado el desarrollo de una herramienta en forma de servicio que permita facilitar el desarrollo de aplicaciones web más seguras, para ello los desarrolladores deberían incorporar los mecanismos de este servicio en sus proyectos. La idea básica es construir un servicio “en la nube” que permita consultar la probabilidad de que, una determinada cadena de datos, se corresponda con un ataque. De forma adicional, este servicio deberá ofrecer un frontend de consulta mediante el cual sea posible analizar los ataques dirigidos a una web concreta clasificándolos e incluso permitiendo cierta parametrización sobre ellos.

Disponible el Web Security Tester de Sofistic

Tras un periodo de investigación y estudio de la competencia, se ha procedido al desarrollo de una herramienta de Fuzzing, el Web Security Tester. Gracias a ella Sofistic puede ofrecer mejores servicios de auditoría web más acordes con la coyuntura economica actual.

El Web Security Tester incorpora mecanismos de prueba automatizada para comprobar la seguridad de los portales web o aplicaciones basadas en la web. Para ello cuenta con una batería de pruebas con las que medir la robustez de los portales objeto de estudio.

Uno de los principales valores diferenciadores del Web Security Tester de Sofistic es la posibilidad de análisis del código Javascript, dicho código solo se ejecuta en los navegadores de los visitantes por lo que un analizador que solo se fije en la respuesta a una petición web no puede saber si esta respuesta es alterada posteriormente por este tipo de códigos.

S-Key : Trasnporta tus datos de forma segura

Como resultado de los estudios realizados y la experiencia adquirida por el trabajo de implantaciones de la Lay Organica de Protección de Datos, Sofistic ha desarrollado el SKey. Esta solución combina distintas tecnologías para ofrecer un producto completo con el que proteger los datos, además incorpora un mecanismo de identificación digital. Gracias al proyecto Clauer se ha dotado al SKey de las capacidades de identificación digital, firma electrónica y gestión de certificados.

Fisicamente el SKey es un dispositivo USB, al cual se le incorporan las mencionadas capacidades, permitiendo almacenar de forma transparente archivos que finalmente son cifrados antes de ser escritos en la memoria del dispositivo y permitiendo además almacenar certificados personales o de entidades para permitir las funciones de identificación y firma.

La función de almacén es la más clara ya que funciona como cualquier otra memoria con el valor añadido del cifrado. La función de identificación y firma también es muy sencilla de explicar, funciona exactamente como el DNIe, permitiendo hacer tramites electrónicos en los lugares que lo acepten, como ventaja frente al DNIe el SKey no necesita de más hardware, ya que al estar basado en tecnología USB solo necesita ser conectado a un ordenador para poder empezar a usarse.

Identidad digital

Gestión de seguridad

Investigación Digital

Desarrollo del web security tester