UNIVERSIDAD POLITECNICA SALESIANA

INGENIERIA DE SISTEMAS
AUDITORIA
Nombre: David Cadena Fecha: 03/01/2019

Tipos De Ataques Más Comunes A Sitios Web Y Servidores

Fuerza Bruta
Estos son básicamente intenta “romper” todas las combinaciones posibles de nombre de
usuario + contraseña en una página web. Los ataques de fuerza bruta buscan contraseñas
débiles para ser descifradas y tener acceso de forma fácil. Los atacantes cuentan con buen
tiempo, así que el truco es hacer que tus contraseñas sean lo bastante seguras y así el
atacante se cansaría antes de descifrar tu contraseña. Mientras que las computadoras se
vuelven más y más poderosa la necesidad de contraseñas más fuertes se vuelve cada vez
más importante.

Inyección SQL (SQLi)

Vulnerabilidades de inyección están clasificados como el problema número uno de la lista

de los 10 mejores temas de seguridad puesto por el Proyecto de Seguridad de
Aplicaciones Web Abierta (OWASP) . Debido a la naturaleza predecible de estos tipos
de aplicaciones, un atacante puede diseñar una cadena utilizando comandos específicos
de Structured Query Language (SQL), y saber que se puede utilizar para forzar la base de
datos renunciar a los bienes. Estas cadenas pueden introducirse en lugares como cajas de
búsqueda, formas de inicio de sesión e incluso directamente en una url para anular las
medidas de seguridad del cliente en la propia página

Las Vulnerabilidades de Inclusión: LFI y RFI

Como resultado de la codificación inseguro, los usuarios maliciosos pueden encontrar

funcionalidad dentro de una aplicación web, y usar la mecánica subyacente para ejecutar
su código. Las dos variaciones de esta acción pueden ser de ejecutar el código ya en el
sistema, o ejecutar el código que se encuentra fuera en el sistema.

Cross Site Scripting

Los atacantes utilizan Cross-site Scripting (XSS) para inyectar scripts maliciosos en lo
que serían sitios web inofensivos. Debido a que estos scripts parecen provenir de sitios
web de confianza, el navegador de los usuarios finales casi siempre ejecuta la secuencia
de comandos, la concesión de los piratas informáticos el acceso a la información
contenida en las cookies o tokens de sesión utilizados con ese sitio. El XSS generalmente
se utiliza para obtener acceso de un usuario de la cuenta.
Software encargado de auditar las aplicaciones web

Arachni es una herramienta que permite realizar auditorías de seguridad sobre

aplicaciones web. Puede descargarse libremente y a continuación explicaremos con más
profundidad algunas de sus características principales.El modulo auditor permite verificar
la seguridad de los formularios web, los enlaces, las cookies y las cabeceras de las
peticiones. De esta manera es posible evaluar la seguridad frente a técnicas que utilizan
los atacantes tales como las peticiones mal formadas, o incluso la explotación de
vulnerabilidades en los formularios, como por ejemplo, a través de datos de entrada
inválidos. De la misma forma, esta herramienta cuenta con un parser que permite analizar
las mismas tecnologías antes expuestas desde el punto de vista del código.

Nikto

La seguridad de los servidores web muchas veces es tomada a la ligera y debido a esta
situación algunas veces son vulnerados con distintas finalidades que comprenden desde
un defacement para dañar la reputación de la organización. Nikto es una herramienta muy
utilizada que posee una gran cantidad de funcionalidades. Algunas de las más interesantes
son el soporte SSL, la posibilidad de utilización de proxies para mantener el anonimato,
la generación de reportes muy completos que se pueden exportar a diferentes formatos
entre los que se encuentran XML, HTML, NBE y CSV, entre otras opciones. De esta
forma es posible visualizar cuál es el nivel de seguridad del servidor que se está auditando.
En la siguiente imagen se ven las diferentes opciones disponibles:
Website Auditor

Es una herramienta de auditoria all-in-one (todo en uno). Es una de las más completas
que se encuentran en el mercado. Es de pago, pero se puede usar una versión gratis, que,
aunque tiene limitaciones, sigue siendo de mucha utilidad. El mantenimiento anual de la
versión pro es de 17 dólares, pero merece la pena invertirlos. Te ayuda a localizar enlaces
rotos, crear contenido optimizado para SEO marcando si tienes títulos de posts demasiado
largos o faltantes, crea tu archivo robots.txt y sitemaps. Te provee información
de pagerank, fecha de Caché, visitas por página, enlaces entrantes, entre otras utilidades
que nos da esta aplicación.

SeoBook

Es una de las herramientas para auditar tu página web que son gratuitas y de las más
recomendadas y son muy buenas para gestionar auditorias, tanto o más que algunas de
pago que se ofertan y es totalmente gratis. Contiene también enlaces de formación, para
los webmasters principiantes que están interesados en aprender más sobre los análisis y
auditorias SEO aunque también sobre PPC y otras estrategias de marketing en Internet.

Relación de arquitectura y seguridad

Es importante señalar que con frecuencia es muy complicado poder tener seguridad que
un diseño puramente conceptual satisface, con seguridad, los drivers arquitecturales. Esto
es particularmente relevante respecto a los atributos de calidad asociados con cuestiones
en tiempo de ejecución (desempeño). Por ello, es muy conveniente que, en esos casos, el
arquitecto sustente sus decisiones de diseño no sólo con diagramas sino con resultados de
la ejecución de prototipos que se hayan realizado justamente con el objetivo de mitigar
riesgos técnicos. Una vez que se ha terminado de evaluar un escenario, se continua con
un escenario distinto hasta que se han cubierto los distintos escenarios, o bien ha
terminado el tiempo de la junta. Como resultado de esta junta de evaluación, el comité
debe reportar sus observaciones con el fin de que puedan ser atendidas por el arquitecto.