Informe Personalizado Detallado

Aura Portal
AURA Portal Caja negra v2

06/09/2019
Versión 1
 Informe Personalizado Detallado | Aura Portal

CONTENIDO
1. INTRODUCCIÓN

1.1. OBJETIVO

2. ALCANCE

2.1. ACTIVOS

2.2. PROYECTOS

3. RESUMEN EJECUTIVO

3.1. OCURRENCIAS DETECTADAS

4. DETALLE DE OCURRENCIAS

4.1. VULNERABILIDADES DE APLICACIÓN

4.2. VULNERABILIDADES DE CONFIGURACIÓN

4.3. VULNERABILIDADES DE VERSIÓN DE PRODUCTO

4.4. RECOMENDACIONES

5. ANEXOS

5.1. REFERENCIAS

5.2. NOMENCLATURA

06/09/2019 1
 Informe Personalizado Detallado | Aura Portal

1. INTRODUCCIÓN
1.1 OBJETIVO
Las pruebas de seguridad realizadas se han centrado sobre el activo "AURA Portal” (https://audit.auraportal.com) en modalidad de Caja
Negra, por lo que cabe destacar que las pruebas realizadas se centran únicamente en la parte de la aplicación pre-autenticación.
El resultado obtenido tras el proceso de análisis y explotación ha revelado la existencia de vulnerabilidades en el activo de AURA Portal que,
dados su probabilidad e impacto se consideran de moderado, por lo que han sido notificadas para su corrección.

Tras la corrección de las vulnerabilidades, se ha realizado una revisión confirmando que se encuentran corregidas correctamente.

Las pruebas de seguridad se han realizado siguiendo las recomendaciones de las guías OWASP para evaluar la seguridad de los diferentes
activos facilitados, esto es, OWASP guide v4 y Top Ten OWASP.

Inicialmente se realiza una recogida y análisis de información.Los siguientes puntos de la metodología OWASP han sido comprobados:

Identificación de servidores y análisis de puertos TCP/UDP

Determinar servicios y versiones existentes en la máquina

Análisis de las vulnerabilidades según servicio y versión

Recopilación y Análisis de metadatos

Fuzzing y crawling
Búsqueda de dominios, subdominios y virtual hosts
Verificar los métodos HTTP (OPTIONS, TRACE…) de cada uno de los servidores
Localización de 'Login Entry' (Passwords avenue)
Búsqueda de versiones antiguas y malas configuraciones
Detección de fugas de información
Búsqueda de información indexada por buscadores
Búsqueda de información no indexada por buscadores
Análisis del código fuente de las aplicaciones

Con los datos obtenidos durante la primera fase, se procederá en esta fase a un análisis más exhaustivo en modalidad “Caja Negra” de los
servidores, con objeto de determinar posibles vulnerabilidades sobre el Sistema Operativo, sus aplicaciones y servicios

Análisis SSL

Analizar la versión de SSL

Verificar los algoritmos de cifrado disponibles para SSL
Verificar la validación de los certificados digitales
Verificar que no se pueda acceder a recursos por canales no seguros (SSL skip)
Manipulación de parámetros

Explotación de vulnerabilidades SQL

Explotación de vulnerabilidades Xpath
Explotación de vulnerabilidades LDAP
Explotación de vulnerabilidades CSPP
Explotación de vulnerabilidades XSS (Cross-Site Scripting)
Inyección de comandos remotos
Modificación de parámetros
Inclusión local y remota de ficheros (LFI y RFI)
Búsqueda y explotación de Path disclosure y Path Transversal
Acceso a directorios/archivos no autorizados
Sistemas de subida de ficheros
Ataques de diccionario contra los 'Login entry' en búsqueda de passwords débiles
Análisis de servicios web
06/09/2019 2
 Informe Personalizado Detallado | Aura Portal

Forzado de errores y pruebas try/error para averiguar la lógica de la aplicación

Técnicas de evasión de sistemas de seguridad

Para la realización de estas pruebas, se han utilizado las siguientes herramientas:

Suite Burp Proxy Pro

Suite Kali Linux
HackBar
Suite Openssl
Firebug
Nmap

06/09/2019 3
 Informe Personalizado Detallado | Aura Portal

2. ALCANCE
2.1 ACTIVOS
RESUMEN

Tipo Número

Servidores 1

Aplicaciones Web 1

Total 2

Tabla 1. Resumen de activos

06/09/2019 4
 Informe Personalizado Detallado | Aura Portal

ALCANCE

A continuación se muestran los activos dentro del alcance de la auditoría.

Nombre Tipo Dirección

audit.auraportal.com - Host Host

Aplicacion Web auraportal caja negra Aplicación Web https://audit.auraportal.com

Tabla 2. Activos dentro del alcance del informe

06/09/2019 5
 Informe Personalizado Detallado | Aura Portal

2.2 PROYECTOS
A continuación se muestran los proyectos de auditoría seleccionados así como las ventanas de tiempo habilitadas para la realización de las
pruebas.

No se han seleccionado proyectos.

06/09/2019 6
 Informe Personalizado Detallado | Aura Portal

3. RESUMEN EJECUTIVO
ESTADO ACTUAL

A continuación se muestran dos diagramas circulares que representan en porcentaje la severidad de todas las ocurrencias detectadas en
esta auditoría y el riesgo sobre los activos definidos en este proyecto.

No se han encontrado ocurrencias.

Gráfico 1. Porcentaje de Ocurrencias por Severidad

No se han encontrado ocurrencias.

Gráfico 2. Porcentaje de Ocurrencias por Tipo y Ámbito

06/09/2019 7
 Informe Personalizado Detallado | Aura Portal

3.1 OCURRENCIAS DETECTADAS

La siguiente tabla muestra el número de ocurrencias por severidad encontradas en la auditoría para cada uno de los activos.

No se han encontrado ocurrencias.

06/09/2019 8
 Informe Personalizado Detallado | Aura Portal

La siguiente tabla muestra las vulnerabilidades encontradas por tipo y las agrupa por vulnerabilidad y activo, detallando la severidad.

No se han encontrado ocurrencias.

06/09/2019 9
 Informe Personalizado Detallado | Aura Portal

A continuación se muestra una tabla resumen de cuántas recomendaciones se han encontrado en este proyecto y el listado de activos
afectados por las mismas.

No se han encontrado recomendaciones.

06/09/2019 10
 Informe Personalizado Detallado | Aura Portal

4. DETALLE DE OCURRENCIAS
4.1 VULNERABILIDADES DE APLICACIÓN
No se han encontrado ocurrencias.

06/09/2019 11
 Informe Personalizado Detallado | Aura Portal

4.2 VULNERABILIDADES DE CONFIGURACIÓN

No se han encontrado ocurrencias.

06/09/2019 12
 Informe Personalizado Detallado | Aura Portal

4.3 VULNERABILIDADES DE VERSIÓN DE PRODUCTO

No se han encontrado ocurrencias.

06/09/2019 13
 Informe Personalizado Detallado | Aura Portal

4.4 RECOMENDACIONES
No se han encontrado ocurrencias.

06/09/2019 14
 Informe Personalizado Detallado | Aura Portal

5. ANEXOS
5.1 REFERENCIAS
OWASP. http://www.owasp.org/
OWASP es una comunidad abierta dedicada a facilitar que las organizaciones desarrollen, adquieran, mantengan y operen
aplicaciones seguras.
OWASP Guide. Guía para diseñar, desarrollar y desplegar aplicaciones web y sistemas seguros
OWASP Testing Guide. Guía que define una metodología de pruebas de seguridad de aplicaciones web no solo centrada en
pruebas de intrusión sino también en el ciclo de vida de desarrollo de software, definición de modelos de riesgo y revisión de
código fuente.
Open Source Security Testing Methodology Manual (OSSTMM). http://www.isecom.org/
Metodología Abierta de Testeo de Seguridad que reúne diversas pruebas y métricas de seguridad utilizadas por los profesionales
durante las Auditorías de Seguridad desarrollado por Institute for Security and Open Methodologies (ISECOM)
SANS Institute References. http://www.sans.org
El Instituto SANS tiene como principales objetivos reunir información sobre todo lo referente a seguridad informática y ofrecer
capacitación y certificación en el ámbito de la seguridad informática.
CVSS - Common Vulnerability Scoring System. http://nvd.nist.gov/cvss.cfm
Common Vulnerability Scoring System (CVSS) proporciona un marco abierto para la comunicación de las características y el impacto
de las vulnerabilidades de Tecnologías de Información. Se trata de un sistema de puntuación de las vulnerabilidades estandarizado
para clasificar las vulnerabilidades de TI. Ayuda a priorizar y coordinar una respuesta conjunta a las vulnerabilidades de seguridad
mediante la comunicación de las propiedades base, temporales y ambientales de una vulnerabilidad.
CVE - Common Vulnerabillity and Exposures http://www.cve.mitre.org/
Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La
información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de
América de información sobre vulnerabilidades
CAPEC - Common Attack Pattern Enumeration and Classification http://capec.mitre.org/
Provee una lista de patrones de ataque comunes según un esquema exhaustivo y una taxonomía de clasificación. Esta información
permite tener una sólida comprensión de la perspectiva del atacante y los métodos utilizados para explotar los sistemas de software.
CAPEC proporciona esta información con el fin de ayudar a mejorar la seguridad de todo el ciclo de vida de desarrollo software y
apoyar las necesidades de los desarrolladores, probadores y educadores.
CWE - Common Weakness Enumeration http://cwe.mitre.org/
CWE proporciona un conjunto de debilidades software unificado y medible. Permite una mejor comprensión y gestión de los puntos
débiles relacionados con la arquitectura y diseño del software.

06/09/2019 15
 Informe Personalizado Detallado | Aura Portal

5.2 NOMENCLATURA
Vulnerabilidad
Un error, fallo, debilidad, o exposición de una aplicación, sistema, dispositivo o servicio que podría comprometer la confidencialidad,
integridad o disponibilidad del sistema o de la información que trata.

Recomendación
No llegan a ser vulnerabilidades, pero permiten obtener información sobre un posible ataque que aproveche alguna(s) vulnerabilidad(es)
detectada(s). Sirven para mejorar el nivel de seguridad de los sistemas y activos digitales, y son consideradas como mejores prácticas para
proteger la organización de amenazas.

Ocurrencia
Un concepto propio que utiliza Vamps es el de ocurrencia. Una ocurrencia es la instancia concreta de una vulnerabilidad del diccionario de
Vamps que afecta a un activo de la organización, facilitando de este modo que no existan repeticiones y homogeneizando las definiciones
independientemente del módulo que la detectó.

Activo
Recurso de valor empleado en una empresa u organización.

Amenaza
Se trata de circunstancias o eventos que tienen una probabilidad de ocasionar un daño a un recurso de información al explotar las
vulnerabilidades que posea.

Riesgo
Se trata de la probabilidad de que una amenaza explote una vulnerabilidad y pueda ocasionar un daño potencial a los activos de la
organización.

N.I.D.
NID es Nessus ID correspondiente al script NASL de Nessus.

B.I.D.
Bugtrack ID, es un identificador de los resultados de las vulnerabilidades encontradas por programas de seguimiento de vulnerabilidades.

O.S.V.D.B.
Es una base de datos independiente y de código abierto, creada por un grupo de especialistas en el ámbito de la seguridad.

C.V.E.
Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por MITRE. La
información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los Estados Unidos de América de
información sobre vulnerabilidades.

06/09/2019 16
 Informe Personalizado Detallado | Aura Portal

Common Vulnerability Scoring System o C.V.S.S.

Es un conjunto de valores estándar para medir la severidad de una vulnerabilidad en la seguridad de un sistema informático. Establece una
serie de parámetros comparados para poder establecer prioridades en el tratamiento de una vulnerabilidad. El vector CVSS Base tiene el
siguiente formato:

(AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C])

Las letras entre paréntesis representan los valores posibles de una métrica CVSS.

Se debe seleccionar una opción entre cada conjunto de corchetes. Las letras que aparecen fuera de los corchetes son obligatorias y deben
incluirse a fin de crear un vector CVSS válido. Cada letra o par de letras es una abreviatura de un valor de métrica en valor CVSS. Estas
abreviaturas se definen a continuación.

Métricas: AV = Vector de Acceso (Relacionado con el rango de explotación)

Posibles valores: L = acceso local, A = Red adyacente, N = Internet
Métricas: AC = Complejidad de Acceso (Requerido ataque complejidad)
Posibles valores: H = Alta, M = Mediano, L = Bajo
Métricas: Au = Autenticación (Nivel de autenticación necesarios para explotar)
Posibles valores: N = No se requiere, S = Requiere única instancia, M = Requiere varias instancias
Métricas: C = ConfImpact (Impacto a la Confidencialidad)
Posibles valores: N = No, P = Parcial, C = Completa
Métricas: I = IntegImpact (Impacto a la Integridad)
Posibles valores: N = No, P = Parcial, C = Completa
Métricas: A = AvailImpact (Impacto a la Disponibilidad)
Posibles valores: N=No, P=Parcial, C=Completa

NVD Valoración de Severidad de Vulnerabilidad

La NVD, Base de Datos Nacional de Vulnerabilidades de Estados Unidos de América, proporciona clasificaciones de la gravedad de las
vulnerabilidades:

La vulnerabilidad etiquetada de ' Baja ' gravedad tienen un CVSS base de puntuación de 0.0-3.9.
La vulnerabilidad etiquetada de ' Media ' gravedad tienen un CVSS base de puntuación de 4.0-6.9.
La vulnerabilidad etiquetada de ' Alta ' gravedad tienen un CVSS base de puntuación de 7.0-10.0.

CPE
Common Platform Enumeration (CPE) Se trata de esquema de nomenclatura estructurado para sistemas informáticos, plataformas y
paquetes. Basado en la sintaxis de uso general “Uniform Resource Indentifiers” (URI). CPE incluye un formato para la definición de nombres,
un lenguaje que permite describir plataformas complejas y un método que permite buscar sistemas a partir de nombre.

06/09/2019 17