Pruebas de seguridad de aplicaciones fuera de banda (OAST)
¿Qué son las pruebas de seguridad OAST?
Las pruebas de seguridad de aplicaciones fuera de banda (OAST) utilizan servidores externos para ver vulnerabilidades que de otro modo serían invisibles. Se introdujo para mejorar aún más el modelo DAST ( pruebas dinámicas de seguridad de aplicaciones ). PortSwigger fue pionero en OAST con Burp Collaborator. Esto agregó capacidades OAST a Burp Suite, lo que hizo que el método fuera más accesible.
¿Qué hace la prueba OAST que otros métodos no pueden?
Una aplicación web puede contener cualquier número de vulnerabilidades de seguridad. Muchos de estos errores son ampliamente conocidos, pero las vulnerabilidades se descubren regularmente en software tanto antiguo como nuevo. A esto se suma el hecho de que las aplicaciones web, y los idiomas en los que están codificadas, tienden a estar en continuo desarrollo. Nada permanece igual por mucho tiempo.
La naturaleza dinámica de esta situación complica las cosas. Significa que ninguna cantidad de pruebas, y ninguna combinación de técnicas, es probable que encuentre todas las vulnerabilidades potenciales en una aplicación. Incluso si lo hiciera, la situación no duraría mucho. Los profesionales de la seguridad compiten constantemente con los ciberdelincuentes, y las consecuencias de una falla pueden ser devastadoras.
Solicita una cotización del mejor escaner de vulnerabilidades de sitios web y aplicativos expuestos, con precios por anualidad e intercambio de targets, BURP SUITE ENTERPRISE es el único que lo ofrece, cambia YA!
Vulnerabilidades invisibles – DAST
El principal punto de venta de DAST siempre ha sido que puede producir resultados de muy alta calidad. Si está examinando un informe producido con este método, entonces puede estar casi seguro de que está viendo vulnerabilidades reales. Esta información puede enviarse directamente a su equipo de desarrollo para que la corrija.
Pero cuando se usan de forma aislada, las pruebas dinámicas tienen dificultades para detectar algunos tipos de vulnerabilidades de seguridad. Los errores ciegos y asincrónicos se pasan por alto fácilmente, por ejemplo. Como verá a continuación, aumentar las pruebas dinámicas con OAST contribuye en gran medida a solucionar este problema.
Falsos positivos – SAST
SAST (pruebas de seguridad de aplicaciones estáticas) es otro método común de prueba de seguridad. Toma efectivamente el enfoque opuesto a las pruebas dinámicas. Donde DAST considera una aplicación como lo haría un atacante, desde afuera hacia adentro, SAST mira el código en sí. Este enfoque le da un conjunto diferente de ventajas e inconvenientes.
El principal problema aquí es que debido a que SAST en realidad no ejecuta ningún código, solo puede ver lo que «podría» estar pasando. Esto significa que, en general, SAST producirá un conjunto de resultados más grande y ruidoso que DAST. Este ruido viene en forma de falsos positivos. Entre estas habrá vulnerabilidades reales, pero determinar cuáles son cuesta tiempo y dinero.
¿Cómo funciona OAST?
OAST mejora los resultados devueltos por las pruebas de seguridad DAST. En muchos sentidos, es en sí mismo un método dinámico, aunque puede ver «a la vuelta de las esquinas». Esto se debe a que las «pruebas de seguridad de aplicaciones dinámicas» en realidad solo denotan una prueba que no puede ver el funcionamiento interno de una aplicación. Esto también podría describir OAST.
Atacando desde afuera
Las pruebas dinámicas convencionales son elegantes en su simplicidad. En esencia, envía cargas útiles a una aplicación de destino y analiza las respuestas que regresan, tal como lo haría un atacante real:
Cuando envía una carga útil DAST y su objetivo regresa con una respuesta que sugiere una vulnerabilidad, puede estar bastante seguro de que es real. Las pruebas dinámicas han logrado el éxito que tienen, porque funcionan bien en estas situaciones.
Pero, ¿qué pasa si una aplicación de destino no devuelve una respuesta a una carga útil, aunque el objetivo sea realmente vulnerable? Este es un problema particular cuando una aplicación funciona de forma asíncrona. Las técnicas DAST tradicionales por sí solas simplemente no lo verán.
Solicita una cotización del mejor escaner de vulnerabilidades de sitios web y aplicativos expuestos, con precios por anualidad e intercambio de targets, BURP SUITE ENTERPRISE es el único que lo ofrece, cambia YA!
Ver más allá del horizonte
Aquí es donde entra OAST. Cuando PortSwigger presentó Burp Collaborator, OAST fue una adición revolucionaria al campo. Permitió que Burp Suite detectara una amplia gama nueva de errores, incluidas muchas vulnerabilidades de inyección ciega de SQL ( SQLi ), secuencias de comandos ciegas entre sitios ( XSS ) y vulnerabilidades de inyección ciega de comandos del sistema operativo.
Burp Collaborator realiza OAST al introducir un nuevo canal de comunicación en el proceso de prueba dinámico:
Entonces, ¿qué está pasando realmente aquí? Bueno, como mencionamos anteriormente, Burp Collaborator puede buscar una gran variedad de vulnerabilidades que alguna vez fueron invisibles para las pruebas DAST.
Si una vulnerabilidad es ciega, entonces no nos devuelve ninguna respuesta útil cuando enviamos un ataque de prueba, incluso si ese ataque tiene éxito. Necesitamos una manera de eludir esto. Los métodos de prueba fuera de banda son ese bypass. Se realiza mediante el envío de una carga útil de ataque que provoca una interacción con un sistema externo sobre el que tenemos control, que se encuentra fuera del dominio de destino.
OAST de la manera fácil
Con Burp Collaborator, esto es fácil de hacer, incluso si no controla un sistema externo para usar con este propósito. Burp Suite Enterprise Edition y Burp Suite Professional pueden comunicarse con el servidor de Burp Collaborator con fines de prueba. Y si lo prefiere, siempre puede configurar un servidor privado para hacer lo mismo.
Burp Collaborator puede identificar las cargas útiles precisas de Burp Scanner responsables de cada interacción que recibe. Entonces, si algo útil regresa de un objetivo, sabrá exactamente qué lo desencadenó. Este proceso fue diseñado principalmente para ser automatizado y se encuentra dentro de Burp Scanner. Para usuarios avanzados, Burp Suite Professional también incluye herramientas OAST manuales.
Las ventajas de probar fuera de banda
Como probablemente pueda ver, OAST automatizado es una técnica poderosa para agregar al arsenal de un probador de seguridad. El diagrama de Venn anterior muestra cómo OAST aumenta considerablemente la cantidad de problemas de seguridad que DAST puede identificar. Algunos de estos también podrían ser recogidos por una herramienta SAST, pero en muchos casos, esto sería poco probable.
Y OAST viene con las mismas ventajas que las pruebas dinámicas convencionales. Rara vez produce falsos positivos, lo que significa que se puede confiar en sus informes.
Al igual que DAST, OAST es agnóstico en cuanto al idioma en el que está escrita una aplicación. No hay necesidad de múltiples piezas de software, incluso si desea escanear múltiples aplicaciones web. Esto combina bien con la enorme escalabilidad de Burp Suite Enterprise Edition . Todo su portafolio web ahora puede ser escaneado por una sola pieza de software.
¿Las pruebas OAST tienen alguna desventaja?
Estaríamos mintiendo si dijéramos que OAST hizo que las pruebas fueran perfectas. Ningún método lo es. Siempre habrá vulnerabilidades que DAST y OAST no pueden ver, al igual que hay otras que SAST no detectará.
El escaneo de seguridad web automatizado no es una panacea para las vulnerabilidades de seguridad. Siempre se debe usar junto con las pruebas de penetración manuales periódicas. Este enfoque ayudará a mantener su presencia en la web tanto segura como compatible.
PortSwigger fue pionero en las pruebas OAST cuando presentó Burp Collaborator. Esta función viene integrada como parte de Burp Suite Enterprise Edition y Burp Suite Professional. Para obtener más información sobre Burp Suite y cómo podría encajar en su caso de uso particular, póngase en contacto con nosotros.
Si te ha gustado, ¡compártelo con tus amigos!
