Campaña Ciberseguridad
El propósito de nuestras campañas es informar y concientizar sobre las brechas de seguridad detectadas en servidores web, mediante nuestros escaneos, con el objetivo de ayudar a las empresas a sanitizar y mantener sus infraestructuras seguras.
Concientización
Contactar con las empresas para reportar su estado de vulnerabilidad.
Mapeo y Detección
Implementar escaneos para identificar brechas de seguridad.
Protección de datos
Evitar fuga de información, datos sensibles de la empresa y sus clientes.
Fortalecer infraestructura
Aplicación de parches de seguridad y configuraciones adecuadas.
Nuestras campañas
Invitamos a las empresas a participar en nuestras campañas de ciberseguridad, donde ofrecemos auditorías limitadas en entornos web.
➡️ Auditoría: Ofrecemos plazas limitadas de auditorías en entornos web, aplicando técnicas de pentesting para identificar vulnerabilidades y brechas de seguridad activas en los sistemas.
➡️ Informe Detallado: Al concluir la auditoria se entrega un pre informe detallando todas las inconsistencias que se encontraron para que el equipo técnico de cada organización pueda verificar y hacer uso del material.
➡️ Efectividad: El modelo es altamente eficaz ya que, al no tener costo, se obtiene un análisis inicial del estado de la infraestructura informática empresarial.
➡️ Decisión Informada: Al finalizar la campaña, la empresa u organización es libre de optar o no por nuestros demás servicios de pago con auditorias más especializadas.
✔️ Enumeración de recursos expuestos
● Reconocimiento de información expuesta
● Recopilación de información de tecnologías utilizadas
● Reconocimiento de información en los metadatos
● Recopilación de información expuesta en el contenido de las paginas
● Reconocimiento de principales entradas del aplicativo
● Mapeo de sub dominios
✔️ Enumeración de puertos
● Escaneos de los puertos habilitados
✔️ Testeo de la configuración e implementación
● Extensiones de archivos
● Archivos backups expuestos
● Rastreo en areas de administracion
● Metodos HTTP implementados
● Permisos implementados
✔️ Búsqueda y recopilacion de errores del servidor
● Testeo y búsqueda de errores inapropiados
● Testeo de stack traces
✔️ Testeo de Autenticación
● Checkeo de credenciales por defecto
● Credenciales vulnerables (comunes)
● Bypassing de autenticación
● Robustes en cambio de contraseñas o funcionalidades
● Multi-factor de autenticación
✔️ Testeo de Autorización
● Escalada de privilegios
● Robustes en las autorizaciones
● OAuth Authorization server
● OAuth Authorization client
● Archivos internos Directory Traversal LFI
● Objetos Inseguros IDORS
✔️ Testeo de sesiones
● Atributos de las cookies
● Variables de sesion expuestas
● Secuestro de sesion
● Tiempo de duracion de la sesion
● Alcance de la sesion en el aplicativo
✔️ Testeo sobre el siguiente listado de Vulnerabilidades
● SQLi(SQL Injection)
● NoSQL Injection
● Web Cache Poisoning
● XSS(Reflected Cross Site Scripting)
● XSS(Stored Cross Site Scripting)
● LFI(Local File Inclusion)
● Command Injection
● HTTP Host Header Injection
● IDORs(Insecure Direct Object References)
● SSRF(Server Side Request Forgery)
● SSTI(Server Side Template Injection)
● CSRF(Cross Site Request Forgery)
● RCE(Remote Command Execution)
● Object Deserealization
● XML Injection
● Breaking Parser Logic
● Upload of Malicious Files
● Type Juggling
● Prototype Pollution
● HTTP Parameter Pollution
● Inyecciones XPath
● Auditoria de APIs
✔️ Informe técnico
❌ No se utilizaran métodos automatizados
❌ No se utilizaran métodos invasivos
❌ No se utilizaran métodos que corrompan el normal funcionamiento de los sistemas
❌ No se realizaran ninguna intrusión a los sistemas o equipos
❌ No se eliminara o modificara ningún archivo o información
❌ No se extraerá información, archivos, bases de datos o datos sensibles