Auditoría técnica de seguridad en

Internet y dispositivos móviles

[5.1] ¿Cómo estudiar este tema?

[5.2] Auditoría de seguridad en Internet. Herramientas de apoyo

[5.3] Auditoría de seguridad en dispositivos móviles.

Herramientas de apoyo

[5.4] Anexo 1. Estructura de informe ejecutivo e informe técnico

[5.5] Anexo 2. Inventario de herramientas

[5.6] Anexo 3. Metodologías

5 TEMA
 Esquema

TEMA 5 – Esquema
El proceso y las fases de la auditoría de SI

2
Auditoría de
Auditoría de
seguridad en
seguridad en Anexos
dispositivos
Internet
móviles
Auditoría de la Seguridad

© Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Ideas clave

5.1. ¿Cómo estudiar este tema?

Para estudiar este tema lee las Ideas clave que encontrarás a continuación y que han
sido elaboradas por el profesor. Al finalizar, el tema, debes leer el apartado «a fondo»
para reforzar los principales conocimientos desarrollados. Además, tienes que realizar las
lecturas recomendadas y apoyarte en la bibliografía y la webgrafía asociadas al tema.

Por último, deberás deberá realizar el caso práctico con el objetivo de repasar los
principales contenidos del tema y asegurar la adecuada adquisición de los conceptos
clave.

Es importante recordar los conceptos previos relacionados con la auditoría técnica

de seguridad, el hacking ético y el test de intrusión tratados en el tema 4.

Las auditorías técnicas de seguridad tienen como objetivo analizar la seguridad

implantada en los sistemas de información de una organización y sus servicios (web,
correo, ftp-file transfer, etc.), realizando una batería de pruebas planificadas que
simulen el comportamiento de un atacante (hacker).

Por este motivo habitualmente se manejan indistintamente los conceptos de

hacking ético y auditorías técnicas de seguridad.

Las auditorías técnicas de seguridad engloban muchos tipos de análisis y pruebas (test)
de seguridad, en función de aquella parte de los sistemas de información que en una
empresa se quiera revisar.

El hacking ético utiliza como base para las pruebas de auditoría de seguridad los
métodos, técnicas y ataques utilizados por hackers de forma ética, controlada y
autorizada.

TEMA 5 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Un Test de Intrusión (PenTest) es un tipo de auditoría técnica de seguridad,

que puede ser interna (caja blanca) o externa (caja negra):

» Caja blanca, cuando el objetivo es acceder a recursos protegidos de los sistemas

de información de la organización desde el interior de la misma (red local).
Habitualmente se permite al auditor la conexión a la red interna para la realización
de las auditorías y tiene información previa de la organización aportada por el
auditado.
» Caja negra, cuando la finalidad es acceder a los sistemas de información de una
empresa desde el exterior (internet). El auditor no dispone de información de la
empresa. Solo la existente de forma pública (internet, prensa, etc.).

Dentro de las auditorías de seguridad de caja blanca, vamos a englobar los dos
primeros apartados tratados en el tema 4:

» Auditoría de seguridad en sistemas.

» Auditoría de seguridad en redes.

Dentro de las auditorías de seguridad de caja negra, vamos a englobar los 2 últimos
apartados tratados en este tema:

» Auditoría de seguridad en Internet.

» Auditoría de seguridad en dispositivos móviles.

Recordemos el siguiente esquema (ilustración 1) resume los conceptos de los temas 4 y

5:

Hacking ético – Auditoría técnica de seguridad

Sistemas

Caja blanca
Redes

Test de intrusión
(PenTest)

Internet
Caja negra

Móviles

TEMA 5 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Existen diversas metodologías para la realización de auditorías técnicas de seguridad

que analizaremos en el anexo correspondiente.

Auditoría de seguridad en Internet

» Google Dorks: Técnica de utilización de parámetros para dirigir y filtrar búsquedas

en la información indexada de los buscadores. Se puede extraer información diversa,
tal como detalles de configuración de una base de datos, nombres de usuario,
contraseñas, listados de directorios, mensajes de error, etc.
» Directory listing / SQL injection:

o Directory Listing hace referencia a la visualización de la estructura de

directorios de un servidor web o servidor FTP como resultado de una mala
configuración y parametrización del servidor.
o SQL injection es una técnica que, utilizando errores en la programación, inyecta
código SQL dentro del código SQL programado, a fin de alterar el funcionamiento
normal del programa y lograr así que se ejecute la porción de código "inyectado",
en la base de datos.

Auditoría de seguridad en dispositivos móviles

» Conexiones WIFI y seguridad WEP, WPA, WPA2. WEP permite la encriptación de

la información que se transmite en una red WiFi. Su cifrado está basado en el
algoritmo RC4, pudiendo utilizar claves de 64 bits (40 bits más 24 bits del vector
de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). WPA adopta la
autenticación de usuarios mediante el uso de un servidor, donde se almacenan las
credenciales y contraseñas de los usuarios de la red.

Para no obligar al uso de tal servidor para el despliegue de redes, WPA permite la
autenticación mediante una clave pre compartida, que de un modo similar al
WEP, requiere introducir la misma clave en todos los equipos de la red. Tanto la
versión 1 de WPA, como la denominada versión 2, se basan en la transmisión de las
autenticaciones soportadas en el elemento de información correspondiente. En el
caso de WPA 1, en el tag propietario de Microsoft, y en el caso de WPA2 en el tag
estándar 802.11i RSN.

TEMA 5 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

» Tarjeta de red en modo monitor/promiscuo: Herramientas que modifican la

forma de trabajo de una tarjeta de red. Se habla de modo monitor en las tarjetas
de red WI-FI y modo promiscuo en las tarjetas de red cableadas.

5.2. Auditoría de seguridad en Internet. Herramientas de apoyo

Las auditorías web son, quizás, las auditorías de

seguridad más utilizadas.

A continuación, se describen a alto nivel las fases de

auditoría de seguridad técnica para un servidor web
en Internet:

» Fase 1. Obtención de información pública (utilización de herramientas).

» Fase 2. Ataque en base a la información obtenida (utilización de herramientas).
» Fase 3. Resultados (redacción preliminar de informe técnico)

Existen diferentes herramientas, para realizar este tipo de auditorías en cada una de las
fases:

» Fase 1: Mediante el uso de buscadores como Google y operadores específicos

(Google Dorks) es posible obtener información indexada sobre el servidor a auditar.
(ver anexo). Utilizando, en caso de que exista, el fichero robots.txt del servidor web
(obtienes rutas que no se desean indexen los buscadores).

Utilizando la web www.netcraft.com obtienes información del servidor.

Complementando con el uso de la herramienta de fuerza bruta DirBuster es
posible obtener parte del árbol web del servidor.

Por ejemplo, la web a auditar. A través del fichero robots.txt obtenemos la

estructura de directorios que no tiene que indexar un buscador. Este fichero nos
revela información de la estructura de directorios.

TEMA 5 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Contenido clásico de un fichero robots.txt

A través de netcraft (www.netcraft.com) podemos conocer el estado del

servidor, localización, datos de registro de dominio y webmaster, etc. Esta
información en ocasiones es útil para hacer ataques de ingeniería social

Pantalla de Netcraft

Con la herramienta DirBuster se hace mediante ataque de diccionario el discover de la

estructura de directorios del servidor web.

Pantalla de DirBuster

» Fase 2: Una vez obtenida la información, en algunos casos se podrá realizar:

o Directory Listing. Acceder a los directorios y estructura de carpetas del servidor

web (por ejemplo, si existe una configuración incompleta del servidor).

TEMA 5 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

o SQL Injection. Este ataque consiste en introducir sentencias SQL en los campos
de los formularios de la web, permitiéndole tener acceso a la base de datos desde
su navegador. Si una aplicación web posee este tipo de fallo, el atacante podrá leer,
modificar, eliminar y crear registros de la base de datos, dependiendo de los
privilegios o permisos que posea este usuario. Todo esto es posible debido a una
mala validación o filtrado de las variables que son enviadas al servidor.

En el ejemplo, del resultado obtenido, se puede deducir que utiliza el gestor

WordPress. De igual forma las respuestas HTTP 200 indican que por navegador
se puede acceder a esa carpeta. (Directory Listing).

Ilustración 6. Resultado de las respuestas HTTP en DirBuster

» Fase 3: Se realizará el informe técnico, donde se describen los pasos realizados y

los resultados (findings) obtenidos.

5.3. Auditoría de seguridad en dispositivos móviles.

Herramientas de apoyo

Los dispositivos móviles han tenido una gran extensión en los últimos años.

Los denominados smartphones (teléfonos móviles con sistemas operativos propios

como iOS, Android, etc.) incorporan funciones de conectividad a redes wifi, 3G,
bluetooth, etc., los que les ha vuelto muy vulnerables.

A esto hay que añadirle que habitualmente estos dispositivos no incorporan ningún
antivirus o firewall, en cuyo caso una posible intrusión sería en muchos casos
«invisible».

TEMA 5 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Existen organizaciones que permiten el acceso a I n ternet a los dispositivos móviles

a través de una red wifi.

Es posible realizar una auditoría de seguridad técnica sobre la conexión wifi y obtener
las credenciales de acceso.

A continuación, se describen a alto nivel las fases de auditoría de seguridad en

dispositivos móviles:

» Fase 1. Obtención de información de la red wifi (SSID, canal, cifrado-

WEP,WPA,WPA2).
» Fase 2. Ataque al cifrado de la red wifi (utilización de herramientas) y captura de
tráfico de los dispositivos móviles conectados a la red.
» Fase 3. Resultados (redacción preliminar de informe técnico).

Existen diferentes herramientas para realizar este tipo de auditorías en cada una de las
fases:

» Fase 1: Mediante la herramienta de conexión de red (wicd) de la distribución de

LINUX-WIFISLAX es posible descubrir la redes WI-FI cercanas.

Por ejemplo, con la herramienta Gestor de Red Wicd comprobamos la redes wifi
que existen

Pantalla de configuración de wicd en Linux

» Fase 2: mediante la aplicación wifite2 se obtiene la clave de acceso a la wifi de forma

automática. Una vez obtenido el acceso se podrán obtener las direcciones de todos
los dispositivos móviles conectados a la red mediante wifi.

TEMA 5 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Por ejemplo, la herramienta Wifite2 se lanza para averiguar qué redes son más
vulnerables.

Pantallas de salida de Wifite2 en Linux

Se obtiene la lista y la más vulnerable es la que nos marca todo en verde. Se selecciona
y se lanza automáticamente una serie de baterías de ataque para obtener las claves
WIFI

Pantallas de salida de Wifite2 en Linux

Una vez con la clave wifi obtenida, ya tienes acceso a la red a través del router wifi. En
este punto CAIN podrá hacer un descubrimiento de la red y comenzar a capturar el
tráfico de dispositivos móviles conectados.

Pantallas de salida de Wifite2 en Linux y CAIN en Windows

TEMA 5 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

» Fase 3: Se realizará el informe técnico, donde se describen los pasos realizados y

los resultados (findings) obtenidos.

5.4. Anexo 1. Estructura de informe ejecutivo e informe técnico

Las siguientes estructuras de informe son completamente diferentes a las utilizadas en

los informes de auditoría de sistemas de información explicadas en el tema 3. A
continuación, se muestra un formato posible de informe ejecutivo:

INTRODUCCIÓN

OBJETIVO Y ALCANCE

TIPO DE AUDITORÍA

CONCLUSIONES Y RECOMENDACIONES

ANEXO. Informe técnico

A continuación, se muestra un formato posible de informe técnico:

INTRODUCCIÓN

OBJETIVO Y ALCANCE

TIPO DE AUDITORÍA

FASE 1: obtención de la información

FASE 2: herramientas y pruebas realizadas

FASE 3: resultados obtenidos, evidencias y recomendaciones

TEMA 5 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

5.5. Anexo 2. Inventario de herramientas

Existen muchas herramientas para realizar las diferentes pruebas y que ayudan a
realizar las auditorías técnicas.

En www.sectools.org están clasificadas todas las herramientas de apoyo para la

realización de las auditorías técnicas de seguridad.

Auditoría de Seguridad en Internet:

» Google.com.
» Netcraft.com.
» DirBuster (www.owasp.org)

Auditoría de seguridad en dispositivos móviles.

Distribución de LINUX – WIFISLAX (herramienta Wifite2-www.wifislax.com)

5.6. Anexo 3. Metodologías

OSSTMM

El Manual de la Metodología Abierta de Comprobación de la Seguridad es uno de los

estándares de facto más utilizado en Auditorías de Seguridad para revisar la Seguridad
de los Sistemas desde Internet. Incluye un marco de trabajo que describe las fases que
habría que realizar para la ejecución de la auditoría. Se encuentra en constante
evolución y se compone de las siguientes fases:

» Seguridad de la Información.
» Seguridad de los Procesos.
» Seguridad en las tecnologías de
Internet Seguridad en las
Comunicaciones Seguridad
Inalámbrica.
» Seguridad Física.

TEMA 5 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

OWASP

Es un proyecto creado por una organización

independiente dedicada a detectar y remediar las
vulnerabilidades causadas por el software inseguro.

Organizado en proyectos y capítulos locales y repartidos por todo el mundo, se

desarrollan documentaciones, herramientas y estándares de fuentes abiertas (GPL,
GFDL, LGPL). Cualquier persona y/o patrocinador puede participar. Pretende que se
desarrolle el mejor software mediante:

Pretende que se desarrolle mejor s oftware mediante:

» El desarrollo de herramientas útiles para identificar los fallos y corregirlos.

» La educación de los grupos involucrados, para evitar que se produzcan fallos.
» La definición de estándares.
» El fomento de la discusión de problemas a través de una comunidad abierta.

Es muy importante para el desarrollo de aplicaciones, y concretamente para el

desarrollo de aplicaciones para móviles (las conocidas apps) considerar las
recomendaciones de OWASP Mobile Security Project referentes a aplicaciones para
móviles.

Pendiente de actualizar por la comunidad OWASP para 2015, se incluye el top ten en
2014 de los riesgos para las aplicaciones móviles es:

» R1–Debilidad de los controles del lado del servidor.

» R2–Almacenamiento inseguro de datos.
» R3–Protección insuficiente en la capa de transporte.
» R4–Fuga de datos no intencionada.
» R5–Pobre autorización y autenticación.
» R6–Criptografía rota.
» R7–Inyección del lado del cliente.
» R8–Decisiones de Seguridad a través de entradas no confiables.
» R9–Manejo de sesión incorrecto.
» R10–Falta de protección a nivel binario.

TEMA 5 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Para ello, OWASP propone una serie de controles de seguridad que, adecuadamente
implantados, permiten minimizar los 10 riesgos anteriores:

» C1–Identificar y proteger los datos sensibles.

» C2–Manejar de forma segura las credenciales del usuario.
» C3–Asegurar que los datos sensibles son protegidos al transmitirlos.
» C4–Implementar de forma correcta la autorización, autenticación y manejo de
sesiones.
» C5–Mantener la seguridad en el backend.
» C6-Integración de datos segura con otros servicios y aplicaciones.
» C7–Prestar atención específica a la recogida y utilización de la información de los
usuarios.
» C8–Implementar controles para prevenir el acceso no autorizado a los recursos de
pago.
» C9–Asegurar la distribución segura y el suministro de las aplicaciones móviles.
» C10–Revisar debidamente cualquier código de error en ejecución.

TEMA 5 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Lo + recomendado

No dejes de leer…

Hacking Ético

Tori, C. (2008). Hacking ético. Argentina: Autor.

Las 328 páginas del libro abordan en profundidad todas las

cuestiones tratadas en los temas 4 y 5.

Accede al libro desde el aula virtual o a través de la siguiente dirección web:

http://www.etnassoft.com/biblioteca/hacking-etico/

La biblia del Footprinting

Calles García, J.A., y González Pérez, P. (Flu Project) (2011). La biblia del Footprinting.

Este documento presenta los detalles de cómo empezar a auditar

páginas web.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

https://radiosyculturalibre.com.ar/biblioteca/INFOSEC/La_Biblia_del_Footprinting.pdf

TEMA 5 – Lo + recomendado 15 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

ISO 25000

Este estándar de la organización ISO especifica los requisitos de calidad y la evaluación

de calidad del software, si bien su principal objetivo es proporcionar una visión general
de los contenidos, las referencias comunes, los modelos y definiciones de systems and
software Quality Requirements and Evaluation. (SQuarRE).

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=64
764

ISO 12207

Se trata del estándar para los procesos del ciclo de vida del software de la organización
ISO. Con una terminología muy bien definida, la estructura del estándar ha sido
concebida de manera que pueda ser adaptada a las necesidades de cualquiera que lo use.
Para conseguirlo, el estándar se basa en dos principios fundamentales: modularidad y
responsabilidad.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.iso.org/iso/catalogue_detail?csnumber=43447

Auditing the Software Development Lifecycle ISACA Geek Week

En este artículo se recoge el ciclo de vida de desarrollo de una auditoría de software, si

bien también se abordan, entre otras cuestiones, las metodologías comunes de desarrollo
o las principales consideraciones al respecto.

Accede al artículo desde el aula virtual o a través de la siguiente dirección

web: http://www.isaca.org/chapters3/Atlanta/AboutOurChapter/Documents/GW2014
/Auditing%20SDLC%20_%20Van%20Stone%20Kamara.pdf

TEMA 5 – Lo + recomendado 16 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

+ Información

A fondo

Desarrollo seguro de aplicaciones para dispositivos móviles

En este artículo se explica por qué la plataforma Android no es totalmente segura, lo que
la ha convertido en una de las más atacadas por los cibercriminales, y proporciona una
serie de consejos para desarrollar aplicaciones que sean más seguras.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios
/desarrollo_seguro_de_aplicaciones_para_dispositivos_moviles

Monográfico: Zenmap

En este artículo encontrarás una descripción de Nmap que ha sido diseñada para
permitir a administradores de sistemas y a usuarios curiosos en general, explorar y
realizar auditorías de seguridad de redes para determinar qué servidores se encuentran
activos y qué servicios ofrecen.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://recursostic.educacion.es/observatorio/web/es/software/software-
general/1050-zenmap?start=1

TEMA 5 – + Información 17 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

¿Cómo se realiza un PenTest?

Un Penetration Testing o Test de Penetración, es un procedimiento metodológico y

sistemático en el que se simula un ataque real a una red o sistema, con el fin de descubrir
y reparar sus problemas de seguridad, a continuación veremos la documentación mas
recomendada para aprender a realizar correctamente un test de penetración. En este
artículo veremos diferentes metodologías para su realización.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.dragonjar.org/como-realizar-un-pentest.xhtml

Test de intrusión

En este artículo encontrarás los pasos para llevar a cabo un test de penetración en una
empresa. Aunque a grandes rasgos los tests de penetración son todos similares es cierto
que cada uno tiene su arte y su punto fuerte, y eso es lo que otorga el valor añadido a las
distintas empresas que se dedican a esto.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.elladodelmal.com/2007/02/test-de-intrusion-i-de-vi.html

Cain & Abel

En este caso tocaremos el tema de la recuperación de contraseñas a través del programa

Cain & Abel. Se trata de una herramienta de recuperación de contraseñas para los
sistemas operativos de Microsoft que permite una fácil recuperación.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.oxid.it/cain.html

TEMA 5 – + Información 18 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Auditar el acceso a ficheros en Windows 7 y Windows XP

En el siguiente artículo en línea veremos con detenimiento los pasos a seguir en el

proceso realizado para auditar el acceso a ficheros en Windows 7 y en Windows Xp.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://blog.elhacker.net/2013/03/auditar-el-acceso-ficheros-carpetas-en-windows-7-
windows-xp.html

Fingerprinting

A través de este sitio web veremos algunas herramientas que nos permitirán realizar un
fingerprint a nuestro wordpress e incluso escanear posibles vulnerabilidades.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.flu-project.com/2012/08/auditando-un-wordpress-parte-vi_26.html

Enlaces relacionados

OxWORD

Editorial de libros técnicos de seguridad.

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

http://0xword.com

TEMA 5 – + Información 19 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

OWASP

Comunidad libre y abierta sobre seguridad en aplicaciones.

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

https://www.owasp.org

OSSTMM

Open Source Security Testing Methodology Manual (OSSTMM).

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

http://www.isecom.org/research/osstmm.html

TEMA 5 – + Información 20 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

FOUNDSTONE (a McAffee division)

McAfee Foundstone es una de las primeras autoridades mundiales en seguridad de la

información.

Accede a la página desde el aula virtual o a través de la siguiente dirección web:

http://www.foundstone.com/

Bibliografía

Álvarez, G. (2004). Seguridad Informática para empresas y particulares.

McGrawHill.

Fernandez, C.M; Piattini, M., Pino, F. (2014). Modelo de madurez de ingeniería del
software. AENOR Ediciones.

Gómez, A. ( 2 0 0 6 ) . Enciclopedia de la Seguridad Informática. RA-MA.

TEMA 5 – + Información 21 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Actividades

Laboratorio #1: Auditoría de aplicaciones web. La importancia

del desarrollo seguro de software en web

Presentación del laboratorio

Para realizar este laboratorio, el primer paso es descargar el proxy web ParosProxy, ya
que esta será la herramienta que utilicemos. La versión necesaria es
«paros3.2.13-win.exe Last Update: 2013-08-14» y habrá que instalarla en el PC con
sistema operativo Windows. Hay que tener acceso a Internet.

Necesitaremos la última máquina virtual de java, que puede instalarse desde la web de
java.com la versión 8 update 73

Es muy importante entender el funcionamiento de un proxyweb (se verá en

clase previo al laboratorio) para poder configurar adecuadamente la herramienta.

Puedes encontrar la información necesaria del recurso en el apartado Recursos Externos

del tema.

Objetivo del laboratorio

El objetivo del laboratorio es la adquisición de las destrezas básicas por parte del alumno
para interceptar y analizar peticiones de cliente web, modificarlas, alterarlas y
determinar si existen errores de programación en la parte del servidor.

Descripción del laboratorio

Este laboratorio nos permitirá conocer los riesgos reales de seguridad asociados al
desarrollo de software (aplicaciones web) y lo que supone no considerar
recomendaciones y buenas prácticas de desarrollo seguro; desde la toma de requisitos
hasta el código fuente en aplicaciones web.

TEMA 5 – Actividades 22 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Entrega del laboratorio

Se deberá entregar un documento con dos partes:

» La primera, que contenga una descripción de los pasos realizados con la

herramienta y las conclusiones a las que se han llegado al revisar la aplicación web
propuesta para análisis. (Se indicará en una de las clases virtuales).
» La segunda, el informe automático de vulnerabilidades consecuencia de no aplicar
buenas prácticas de desarrollo seguro. (Este informe deberá ser analizado
previamente por el alumno).

TEMA 5 – Actividades 23 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

Test

1. ¿Por qué sucede en algunos casos el llamado Directory Listing?

A. Como consecuencia del uso de herramientas de sniffing de red.
B. Como resultado de la utilización de inyección de paquetes en redes wifi.
C. Como resultado de una inadecuada configuración y parametrización de un
servidor web o servidor FTP.
D. Como consecuencia del uso del cifrado WPA.

2. La herramienta OWASP DirBuster:

A. Es una herramienta diseñada para obtener por fuerza bruta o diccionario los
nombres de directorios y archivos en servidores web.
B. Es una herramienta para obtener las claves WPA2 de un router inalámbrico.
C. Permite realizar sniffing de red.
D. Está diseñada para realizar ARP Poisoning.

3. Con el fichero robots.txt conseguimos:

A. Averiguar parte de la estructura de carpetas de una web.
B. Actualmente no se utiliza. Fue un fichero muy utilizado entre 1997 y 2001.
C. Esté bien o mal estructurado el fichero, los buscadores tipo google, bing, etc.
nunca indexarán los path a carpetas que contenga el fichero.
D. Que el servidor web aplique reglas de seguridad sobre esas carpetas.

4. Los informes de auditorías técnicas de seguridad:

A. Incluyen como anexo el informe ejecutivo.
B. Nunca describen con detalle técnico las fases de la auditoría de seguridad que
realizan.
C. No necesitan definir el objetivo y el alcance de la auditoría.
D. Ninguna de las anteriores.

TEMA 5 – Test 24 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

5. Para evitar inyecciones de SQL (SQL injection–SQLi) se recomienda:

A. Utilizar frameworks de desarrollo seguro muy sofisticados y de alto coste
económico.
B. Utilizar, entre otras recomendaciones, validación de parámetros en frontend y
en backend (cliente web por ejemplo y en procedimientos almacenados de SQL en
servidor dde BBDD).
C. Configurar adecuadamente el fichero robots.txt.
D. Ninguna de las anteriores.

6. ¿Quién propone anualmente el Top Ten de riesgos en desarrollo de aplicaciones?

A. ISACA.
B. NIST.
C. OWASP.
D. Ninguna de las anteriores.

7. Principalmente, si sobre una aplicación se puede realizar SQL Injection se debe a:

A. Mala configuración de robots.txt.
B. Mala configuración de Subversion.
C. No se han tomado al menos medidas de validación de datos de entrada en cliente
y en servidor.
D. Mala configuración del servidor de aplicaciones.

8. Principalmente, si en un portal web somos capaces de ver su estructura de directorios,

esto se debe a:

A. No se realiza en javascript validación de datos de entrada.

B. Una mala configuración del servidor web que permite esta acción.
C. Una mala configuración en la subversión (control de versiones).
D. Ninguna de las anteriores.

9. En webs tipo www.netcraft.com, la información que nos muestra:

A. Es la misma que en el fichero robots.txt.
B. Es la misma que obtenemos al realizar un ataque de fuerza bruta en una web.
C. Información acerca del cifrado de WPA.
D. Es similar a los servicios whois de Internet.

TEMA 5 – Test 25 © Universidad Internacional de La Rioja (UNIR)

 Auditoría de la Seguridad

10. El cifrado WEP para redes wifi:

A. Es el más débil. Debe aplicarse al menos WPA2.
B. Es el más robusto, incluso más que WPA2.
C. Es idéntico a WPA.
D. Ninguna de las anteriores.

TEMA 5 – Test 26 © Universidad Internacional de La Rioja (UNIR)