Auditoría de aplicación
Las pruebas para este tipo de auditoría, tratan de simular un ataque real, normalmente de tipo caja negra, la información que se tiene sobre la aplicación es la documentación que se pueda encontrar online. El resto se debe obtener através del ataque a la aplicación, servidor, obtener trazas, ubicación de la BBDD, tablas, logins,…
Las fases de este tipo de auditoría són las siguientes:
- Recopilación de información
- Ingeniería inversa
- Analísis de la infraestructura
- Analísis del proceso de autenticación
- Analísis de la gestión de sesiones.
- Analísis del esquema de autorización
- Analísis de workflows
- Analísis de validación
- Analisis de vulnerabilidades sobre el servidor
- Analisis del lado cliente.