Hacking ético
El cliente pertenece al sector de Seguros ofreciendo servicios a particulares y a empresas.
El negocio del cliente
Dichos servicios disponen de un front en internet para realizar tramitaciones on-line donde se utiliza DNI electrónico como opción para la identificación inequívoca del que reclama.
La validación de la validez del DNI electrónico se realiza de forma externa a sus sistemas a través de Telefónica.
Puntos a resolver en el cliente
- El principal punto a resolver es asegurar la seguridad de las transacciones ya que las reclamaciones tramitadas pueden conllevar el pago de indemnizaciones
La solución
- Data Adviser como BP de IBM ha utilizado APPSCAN para la identificación de posibles agujeros de seguridad
- Asimismo el equipo de auditores de DA ha realizado scripts para comprobar que los posibles agujeros son además explotables y permiten acceder a sitios no deseados.
- Se han realizado todas las pruebas en un entorno preproductivo
- Con las evidencias de los problemas detectados se ha preparado un informe indicando la forma de resolverlo con ejemplos aplicables en el código JAVA
Los beneficios
- Verificados los problemas de seguridad se han corregido antes de su paso a producción
- Se han creado políticas internas para desarrollos JAVA evitando posibles problemas
