La Auditoría de Aplicaciones puede abordarse desde una vertiente de caja negra o de caja blanca, en la que se dispone y audita el Código Fuente de la aplicación, pero se requiere un componente manual capaz de asimilar el contexto de la aplicación para obtener resultados óptimos, y esa capacidad es la que ofrecemos en de Internet Security Auditors.
Las empresas normalmente incluyen en su sitio Web pequeñas aplicaciones (Applets, CGIs, ActiveX, etc.) que ayudan a gestionar los datos enviados por los usuarios (datos personales, pedidos, pagos online, control de acceso, etc.). Existen también otras empresas que utilizan su sitio Web para realizar una gran variedad de operaciones con sus clientes/proveedores/personal (p.e. portales corporativos, brokers/banking online, e-commerce, extranets, etc.) y esto implica la utilización de una compleja aplicación que se ejecuta en el servidor Web o de aplicaciones y que gestiona todas estas operaciones.
Las actuaciones que se llevan a cabo para realizar la Auditoría de Aplicación, siguen la filosofía de caja negra, es decir, en ningún momento se audita el código fuente de la aplicación. El motivo de esta metodología de trabajo es la de simular la actuación real de un atacante malicioso que, a través de las aplicaciones auditadas y sin disponer de su código fuente, intente realizar un ataque al sistema, bases de datos, etc...
El proceso de auditar Aplicaciones está planificado en las fases que se presentan a continuación:
Nuestra metodologia nos permite llevar a cabo una exhaustiva revisión sobre las aplicaciones auditadas cubriendo los siguientes aspectos de seguridad: