Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria CiberSeguridad Caja Negra AuraPortal Azure Telefonica 20190906 PDF
Auditoria CiberSeguridad Caja Negra AuraPortal Azure Telefonica 20190906 PDF
Aura Portal
AURA Portal Caja negra v2
06/09/2019
Versión 1
Informe Personalizado Detallado | Aura Portal
CONTENIDO
1. INTRODUCCIÓN
1.1. OBJETIVO
2. ALCANCE
2.1. ACTIVOS
2.2. PROYECTOS
3. RESUMEN EJECUTIVO
4. DETALLE DE OCURRENCIAS
4.4. RECOMENDACIONES
5. ANEXOS
5.1. REFERENCIAS
5.2. NOMENCLATURA
06/09/2019 1
Informe Personalizado Detallado | Aura Portal
1. INTRODUCCIÓN
1.1 OBJETIVO
Las pruebas de seguridad realizadas se han centrado sobre el activo "AURA Portal” (https://audit.auraportal.com) en modalidad de Caja
Negra, por lo que cabe destacar que las pruebas realizadas se centran únicamente en la parte de la aplicación pre-autenticación.
El resultado obtenido tras el proceso de análisis y explotación ha revelado la existencia de vulnerabilidades en el activo de AURA Portal que,
dados su probabilidad e impacto se consideran de moderado, por lo que han sido notificadas para su corrección.
Tras la corrección de las vulnerabilidades, se ha realizado una revisión confirmando que se encuentran corregidas correctamente.
Las pruebas de seguridad se han realizado siguiendo las recomendaciones de las guías OWASP para evaluar la seguridad de los diferentes
activos facilitados, esto es, OWASP guide v4 y Top Ten OWASP.
Inicialmente se realiza una recogida y análisis de información.Los siguientes puntos de la metodología OWASP han sido comprobados:
Con los datos obtenidos durante la primera fase, se procederá en esta fase a un análisis más exhaustivo en modalidad “Caja Negra” de los
servidores, con objeto de determinar posibles vulnerabilidades sobre el Sistema Operativo, sus aplicaciones y servicios
Análisis SSL
06/09/2019 3
Informe Personalizado Detallado | Aura Portal
2. ALCANCE
2.1 ACTIVOS
RESUMEN
Tipo Número
Servidores 1
Aplicaciones Web 1
Total 2
06/09/2019 4
Informe Personalizado Detallado | Aura Portal
ALCANCE
06/09/2019 5
Informe Personalizado Detallado | Aura Portal
2.2 PROYECTOS
A continuación se muestran los proyectos de auditoría seleccionados así como las ventanas de tiempo habilitadas para la realización de las
pruebas.
06/09/2019 6
Informe Personalizado Detallado | Aura Portal
3. RESUMEN EJECUTIVO
ESTADO ACTUAL
A continuación se muestran dos diagramas circulares que representan en porcentaje la severidad de todas las ocurrencias detectadas en
esta auditoría y el riesgo sobre los activos definidos en este proyecto.
06/09/2019 7
Informe Personalizado Detallado | Aura Portal
06/09/2019 8
Informe Personalizado Detallado | Aura Portal
La siguiente tabla muestra las vulnerabilidades encontradas por tipo y las agrupa por vulnerabilidad y activo, detallando la severidad.
06/09/2019 9
Informe Personalizado Detallado | Aura Portal
A continuación se muestra una tabla resumen de cuántas recomendaciones se han encontrado en este proyecto y el listado de activos
afectados por las mismas.
06/09/2019 10
Informe Personalizado Detallado | Aura Portal
4. DETALLE DE OCURRENCIAS
4.1 VULNERABILIDADES DE APLICACIÓN
No se han encontrado ocurrencias.
06/09/2019 11
Informe Personalizado Detallado | Aura Portal
06/09/2019 12
Informe Personalizado Detallado | Aura Portal
06/09/2019 13
Informe Personalizado Detallado | Aura Portal
4.4 RECOMENDACIONES
No se han encontrado ocurrencias.
06/09/2019 14
Informe Personalizado Detallado | Aura Portal
5. ANEXOS
5.1 REFERENCIAS
OWASP. http://www.owasp.org/
OWASP es una comunidad abierta dedicada a facilitar que las organizaciones desarrollen, adquieran, mantengan y operen
aplicaciones seguras.
OWASP Guide. Guía para diseñar, desarrollar y desplegar aplicaciones web y sistemas seguros
OWASP Testing Guide. Guía que define una metodología de pruebas de seguridad de aplicaciones web no solo centrada en
pruebas de intrusión sino también en el ciclo de vida de desarrollo de software, definición de modelos de riesgo y revisión de
código fuente.
Open Source Security Testing Methodology Manual (OSSTMM). http://www.isecom.org/
Metodología Abierta de Testeo de Seguridad que reúne diversas pruebas y métricas de seguridad utilizadas por los profesionales
durante las Auditorías de Seguridad desarrollado por Institute for Security and Open Methodologies (ISECOM)
SANS Institute References. http://www.sans.org
El Instituto SANS tiene como principales objetivos reunir información sobre todo lo referente a seguridad informática y ofrecer
capacitación y certificación en el ámbito de la seguridad informática.
CVSS - Common Vulnerability Scoring System. http://nvd.nist.gov/cvss.cfm
Common Vulnerability Scoring System (CVSS) proporciona un marco abierto para la comunicación de las características y el impacto
de las vulnerabilidades de Tecnologías de Información. Se trata de un sistema de puntuación de las vulnerabilidades estandarizado
para clasificar las vulnerabilidades de TI. Ayuda a priorizar y coordinar una respuesta conjunta a las vulnerabilidades de seguridad
mediante la comunicación de las propiedades base, temporales y ambientales de una vulnerabilidad.
CVE - Common Vulnerabillity and Exposures http://www.cve.mitre.org/
Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La
información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de
América de información sobre vulnerabilidades
CAPEC - Common Attack Pattern Enumeration and Classification http://capec.mitre.org/
Provee una lista de patrones de ataque comunes según un esquema exhaustivo y una taxonomía de clasificación. Esta información
permite tener una sólida comprensión de la perspectiva del atacante y los métodos utilizados para explotar los sistemas de software.
CAPEC proporciona esta información con el fin de ayudar a mejorar la seguridad de todo el ciclo de vida de desarrollo software y
apoyar las necesidades de los desarrolladores, probadores y educadores.
CWE - Common Weakness Enumeration http://cwe.mitre.org/
CWE proporciona un conjunto de debilidades software unificado y medible. Permite una mejor comprensión y gestión de los puntos
débiles relacionados con la arquitectura y diseño del software.
06/09/2019 15
Informe Personalizado Detallado | Aura Portal
5.2 NOMENCLATURA
Vulnerabilidad
Un error, fallo, debilidad, o exposición de una aplicación, sistema, dispositivo o servicio que podría comprometer la confidencialidad,
integridad o disponibilidad del sistema o de la información que trata.
Recomendación
No llegan a ser vulnerabilidades, pero permiten obtener información sobre un posible ataque que aproveche alguna(s) vulnerabilidad(es)
detectada(s). Sirven para mejorar el nivel de seguridad de los sistemas y activos digitales, y son consideradas como mejores prácticas para
proteger la organización de amenazas.
Ocurrencia
Un concepto propio que utiliza Vamps es el de ocurrencia. Una ocurrencia es la instancia concreta de una vulnerabilidad del diccionario de
Vamps que afecta a un activo de la organización, facilitando de este modo que no existan repeticiones y homogeneizando las definiciones
independientemente del módulo que la detectó.
Activo
Recurso de valor empleado en una empresa u organización.
Amenaza
Se trata de circunstancias o eventos que tienen una probabilidad de ocasionar un daño a un recurso de información al explotar las
vulnerabilidades que posea.
Riesgo
Se trata de la probabilidad de que una amenaza explote una vulnerabilidad y pueda ocasionar un daño potencial a los activos de la
organización.
N.I.D.
NID es Nessus ID correspondiente al script NASL de Nessus.
B.I.D.
Bugtrack ID, es un identificador de los resultados de las vulnerabilidades encontradas por programas de seguimiento de vulnerabilidades.
O.S.V.D.B.
Es una base de datos independiente y de código abierto, creada por un grupo de especialistas en el ámbito de la seguridad.
C.V.E.
Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La
información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de
información sobre vulnerabilidades.
06/09/2019 16
Informe Personalizado Detallado | Aura Portal
(AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C])
Las letras entre paréntesis representan los valores posibles de una métrica CVSS.
Se debe seleccionar una opción entre cada conjunto de corchetes. Las letras que aparecen fuera de los corchetes son obligatorias y deben
incluirse a fin de crear un vector CVSS válido. Cada letra o par de letras es una abreviatura de un valor de métrica en valor CVSS. Estas
abreviaturas se definen a continuación.
La vulnerabilidad etiquetada de ' Baja ' gravedad tienen un CVSS base de puntuación de 0.0-3.9.
La vulnerabilidad etiquetada de ' Media ' gravedad tienen un CVSS base de puntuación de 4.0-6.9.
La vulnerabilidad etiquetada de ' Alta ' gravedad tienen un CVSS base de puntuación de 7.0-10.0.
CPE
Common Platform Enumeration (CPE) Se trata de esquema de nomenclatura estructurado para sistemas informáticos, plataformas y
paquetes. Basado en la sintaxis de uso general “Uniform Resource Indentifiers” (URI). CPE incluye un formato para la definición de nombres,
un lenguaje que permite describir plataformas complejas y un método que permite buscar sistemas a partir de nombre.
06/09/2019 17