POLITICA DE COOKIES

PENTEST-ONLINE.COM utiliza cookies técnicas, analíticas, de sesión y de publicidad con la finalidad de prestar un mejor servicio. No obstante, necesitamos su consentimiento explícito para poder utilizarlas. Así mismo puede cambiar la configuración de las cookies u obtener más información aquí .

CAJA BLANCA

Ataque externo e interno

Información del producto

Servicio de Pentesting: Simulación Completa con Conocimiento Total (Caja Blanca)

¿Qué es la prueba de Caja Blanca?

Este servicio combina simulaciones de ataques internos y externos con acceso completo a tu sistema, proporcionando una evaluación exhaustiva de la seguridad de tu sitio web o API. El objetivo es identificar vulnerabilidades desde cualquier ángulo, replicando escenarios realistas de atacantes con acceso total o parcial.


¿Por qué elegir nuestro servicio de pentesting Caja Blanca?

1. Informe válido para auditorías oficiales

Nuestro informe cumple con los requisitos de:

  • Auditorías internas y externas.
  • Certificaciones de seguridad y normativas como ISO 27001, GDPR, ENS, o PCI DSS.

Incluye:

  • Evidencias detalladas y descripciones claras.
  • Priorización de vulnerabilidades según su criticidad.
  • Recomendaciones accionables para fortalecer la seguridad.

2. Simulación avanzada de ataques internos y externos

Reproducimos ataques realistas desde todas las perspectivas:

  • Actores externos: Sin acceso previo al sistema.
  • Actores internos: Con acceso total, incluidas credenciales, código fuente y arquitectura.

Nuestra metodología:

  • Pruebas automatizadas para identificar vulnerabilidades comunes.
  • Evaluación manual para explorar debilidades en todas las capas del sistema.

3. Análisis adaptable a cualquier entorno

Independientemente de la tecnología que uses, nuestro análisis se ajusta a:

  • Lenguajes: PHP, Java, Python, C#, Node.js, Ruby.
  • Frameworks: Django, Laravel, Spring, Express.js.
  • CMS: WordPress, Joomla, Drupal, Magento.
  • APIs: REST, GraphQL, SOAP.
  • Infraestructuras: Nube, híbridas o locales (on-premise).

4. Cobertura exhaustiva

Detectamos vulnerabilidades críticas como:

  • Autenticación y autorización: Fallos en accesos y gestión de permisos.
  • Escalamiento de privilegios: Identificación de rutas para obtener control administrativo.
  • Inyección SQL y XSS: Exploits en bases de datos y scripts.
  • Errores de configuración: CORS, encabezados HTTP y otras políticas mal configuradas.
  • Análisis del código fuente: Detección de prácticas inseguras o errores críticos.

5. Entrega rápida en 72 horas

En solo tres días, obtendrás un informe completo y listo para compartir con tu equipo técnico o de gestión.


Beneficios Clave para tu Organización

  • Cobertura total del sistema: Identificamos vulnerabilidades internas y externas, garantizando una protección integral.
  • Protección ante escenarios extremos: Evaluamos la capacidad de tu sistema para resistir incluso los ataques más sofisticados.
  • Mejora de calidad: Proporcionamos recomendaciones para reforzar tu código y configuraciones.
  • Cumplimiento normativo: Ayudamos a tu organización a cumplir con los estándares de seguridad más reconocidos.
  • Informe exhaustivo: Con evidencias visuales, descripción técnica, criticidad y pasos específicos para solucionar cada vulnerabilidad.

¿Qué incluye tu informe?

  • Descripciones claras y técnicas de las vulnerabilidades detectadas.
  • Evidencias visuales y explicación de su impacto.
  • Priorización por nivel de criticidad.
  • Recomendaciones detalladas y accionables para la mitigación.

Asegura la protección integral de tu organización desde todos los frentes.
Contrata nuestro servicio de pentesting Caja Blanca y recibe un informe oficial diseñado para fortalecer la seguridad de tu sistema y cumplir con estándares de la industria.

Entrega garantizada en 72 horas.

+281 Vulnerabilidades

+281 Vulnerabilidades
NOMBRE
GRAVEDAD
CLASIFICACIONES
OS command injection
High
SQL injection
High
SQL injection (second order)
High
ASP.NET tracing enabled
High
File path traversal
High
XML external entity injection
High
LDAP injection
High
XPath injection
High
XML injection
Medium
ASP.NET debugging enabled
Medium
Broken Access Control
Information
HTTP PUT method is enabled
High
Out-of-band resource load (HTTP)
High
File path manipulation
High
PHP code injection
High
Server-side JavaScript code injection
High
Perl code injection
High
Ruby code injection
High
Python code injection
High
Expression Language injection
High
Unidentified code injection
High
Server-side template injection
High
SSI injection
High
Cross-site scripting (stored)
High
HTTP request smuggling
High
Client-side desync
High
Web cache poisoning
High
HTTP response header injection
High
Cross-site scripting (reflected)
High
Client-side template injection
High
Cross-site scripting (DOM-based)
High
Cross-site scripting (reflected DOM-based)
High
Cross-site scripting (stored DOM-based)
High
Client-side prototype pollution
Information
JavaScript injection (DOM-based)
High
JavaScript injection (reflected DOM-based)
High
JavaScript injection (stored DOM-based)
High
Path-relative style sheet import
Information
Client-side SQL injection (DOM-based)
High
Client-side SQL injection (reflected DOM-based)
High
Client-side SQL injection (stored DOM-based)
High
WebSocket URL poisoning (DOM-based)
High
WebSocket URL poisoning (reflected DOM-based)
High
WebSocket URL poisoning (stored DOM-based)
High
Local file path manipulation (DOM-based)
High
Local file path manipulation (reflected DOM-based)
High
Local file path manipulation (stored DOM-based)
High
Client-side XPath injection (DOM-based)
Low
Client-side XPath injection (reflected DOM-based)
Low
Client-side XPath injection (stored DOM-based)
Low
Client-side JSON injection (DOM-based)
Low
Client-side JSON injection (reflected DOM-based)
Low
Client-side JSON injection (stored DOM-based)
Low
Flash cross-domain policy
High
Silverlight cross-domain policy
High
Content security policy: allowlisted script resources
Information
Content security policy: allows untrusted script execution
Information
Content security policy: allows untrusted style execution
Information
Content security policy: malformed syntax
Information
Content security policy: allows clickjacking
Information
Content security policy: allows form hijacking
Information
Content security policy: not enforced
Information
GraphQL endpoint found
Information
GraphQL endpoint discovered
Information
GraphQL introspection enabled
Low
GraphQL suggestions enabled
Low
GraphQL content type not validated
Low
Cross-origin resource sharing
Information
Cross-origin resource sharing: arbitrary origin trusted
High
Cross-origin resource sharing: unencrypted origin trusted
Low
Cross-origin resource sharing: all subdomains trusted
Low
Web cache deception
Medium
Cross-site request forgery
Medium
SMTP header injection
Medium
JWT signature not verified
High
JWT none algorithm supported
High
JWT self-signed JWK header supported
High
JWT weak HMAC secret
High
JWT arbitrary jku header supported
High
JWT arbitrary x5u header supported
High
Cleartext submission of password
High
External service interaction (DNS)
Information
External service interaction (HTTP)
High
External service interaction (SMTP)
Information
Referer-dependent response
Information
Spoofable client IP address
Information
User agent-dependent response
Information
Password returned in later response
Medium
Password submitted using GET method
Low
Password returned in URL query string
Low
SQL statement in request parameter
Medium
Cross-domain POST
Information
ASP.NET ViewState without MAC enabled
High
XML entity expansion
Medium
Long redirection response
Information
Serialized object in HTTP message
High
Duplicate cookies set
Information
Input returned in response (stored)
Information
Input returned in response (reflected)
Information
Suspicious input transformation (reflected)
Information
Suspicious input transformation (stored)
Information
Request URL override
Information
Vulnerable JavaScript dependency
Low
Open redirection (reflected)
Low
Open redirection (stored)
Medium
Open redirection (DOM-based)
Low
Open redirection (reflected DOM-based)
Low
Open redirection (stored DOM-based)
Medium
TLS cookie without secure flag set
Medium
Cookie scoped to parent domain
Low
Cross-domain Referer leakage
Information
Cross-domain script include
Information
Cookie without HttpOnly flag set
Low
Session token in URL
Medium
Password field with autocomplete enabled
Low
Password value set in cookie
Medium
File upload functionality
Information
Frameable response (potential Clickjacking)
Information
Browser cross-site scripting filter disabled
Information
HTTP TRACE method is enabled
Information
Cookie manipulation (DOM-based)
Low
Cookie manipulation (reflected DOM-based)
Low
Cookie manipulation (stored DOM-based)
Low
Ajax request header manipulation (DOM-based)
Low
Ajax request header manipulation (reflected DOM-based)
Low
Ajax request header manipulation (stored DOM-based)
Low
Denial of service (DOM-based)
Information
Denial of service (reflected DOM-based)
Information
Denial of service (stored DOM-based)
Low
HTML5 web message manipulation (DOM-based)
Information
HTML5 web message manipulation (reflected DOM-based)
Information
HTML5 web message manipulation (stored DOM-based)
Information
HTML5 storage manipulation (DOM-based)
Information
HTML5 storage manipulation (reflected DOM-based)
Information
HTML5 storage manipulation (stored DOM-based)
Information
Link manipulation (DOM-based)
Low
Link manipulation (reflected DOM-based)
Low
Link manipulation (stored DOM-based)
Low
Link manipulation (reflected)
Information
Link manipulation (stored)
Information
Document domain manipulation (DOM-based)
Medium
Document domain manipulation (reflected DOM-based)
Medium
Document domain manipulation (stored DOM-based)
Medium
DOM data manipulation (DOM-based)
Information
DOM data manipulation (reflected DOM-based)
Information
DOM data manipulation (stored DOM-based)
Information
CSS injection (reflected)
Medium
CSS injection (stored)
Medium
Client-side HTTP parameter pollution (reflected)
Low
Client-side HTTP parameter pollution (stored)
Low
Form action hijacking (reflected)
Medium
Form action hijacking (stored)
Medium
Database connection string disclosed
Medium
Source code disclosure
Low
Backup file
Information
Directory listing
Information
Email addresses disclosed
Information
Private IP addresses disclosed
Information
Social security numbers disclosed
Information
Credit card numbers disclosed
Information
Private key disclosed
Information
Robots.txt file
Information
Json Web Key Set disclosed
Information
JWT private key disclosed
High
Cacheable HTTPS response
Information
Base64-encoded data in parameter
Information
Multiple content types specified
Information
HTML does not specify charset
Information
HTML uses unrecognized charset
Information
Content type incorrectly stated
Low
Content type is not specified
Information
TLS certificate
Medium
Unencrypted communications
Low
Strict transport security not enforced
Low
Mixed content
Information
Hidden HTTP 2
Information
Extension generated issue
Information
BCheck generated issue
Information

Informe

Informe de ejemplo

Proceso

El proceso

CAJA BLANCA
PENETRATION
TESTING

Todo incluido
299€
Enviado correctamente.

Gracias por confiar en Q2BStudio