Solicitante: David Mendez

Área Solicitante: Seguridad de la información

Fecha Prueba: 2020-01-30
Nombre App: Conjunto al dia/Cuotas al dia

Identificador Informe Fecha de la prueba

1 Err:502 1/30/2020

2 Err:502 1/30/2020

3 Err:502 1/30/2020
4 Err:502 1/30/2020

5 Err:502 1/30/2020

6 Err:502 1/30/2020
7 Err:502 1/30/2020

8 Err:502 1/30/2020

9 Err:502 1/30/2020

10 Err:502 1/30/2020

11 Err:502 1/30/2020
12 Err:502 1/30/2020

13 Err:502 1/30/2020

14 Err:502 1/30/2020
 Servidor NO
Base de Datos NO
Sitio Web SI

Trimestre Test/Retest Activo(s) Involucrado (s)

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com
 /app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com
 /app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com
 /app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

/app.conjuntoaldia.com
4 TEST www.conjuntoaldia.com
administracionaldia.segurosbolivar.com
 IP o URL
Componente

Servicio(s) Asociado (s) Versión

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

Conjunto al dia/Cuotas al dia N/A

www.conjuntoaldia.com
administracionaldia.segurosbolivar.com Retest:
Ambiente:
Tipo

Ambiente Tipo Evaluación

PRODUCCIÓN Web

PRODUCCIÓN Web

PRODUCCIÓN Web
PRODUCCIÓN Web

PRODUCCIÓN Web

PRODUCCIÓN Web
PRODUCCIÓN Web

PRODUCCIÓN Web

PRODUCCIÓN Web

PRODUCCIÓN Web

PRODUCCIÓN Web
PRODUCCIÓN Web

PRODUCCIÓN Web

PRODUCCIÓN Web
NO
Producción
Aplicación Web

CONTROL
Estado Escenario Evaluación Amenaza

Un atacante puede enviar correos electrónicos

Nueva Externo con cualquier mensaje y con enlaces maliciosos
a cualquier usuario a nombre de conjunto al día

Ya que la función de envió de correo electrónico

de confirmación es insegura, también es posible
Nueva Externo realizar ataques de repetición y de fuerza bruta
para enviar correos masivos a nombre de
conjuntoaldia

Es posible capturar el token de sesión del

Nueva Externo usuario ejecutando un ataque de hombre en el
medio.
 De explotarse esta vulnerabilidad sería posible
Nueva Externo ver en texto plano el id de usuario y sus
credenciales de acceso

Un atacante puede utilizar esta información para

utilizar exploits conocidos sobre la versión o
Nueva Externo
diseñar ataques más enfocados sobre las
tecnologías usadas.

Un atacante puede utilizar esta información para

utilizar exploits conocidos sobre la versión o
Nueva Externo
diseñar ataques más enfocados sobre las
tecnologías usadas.
 Un atacante podría suplantar las paginas y
Nueva Externo
capturar datos sensibles de los usuarios.

Dicha fuga de información podría permitir a un

atacante a averiguar la estructura o topología
interna de la red, y preparar así ataques
Nueva Externo
destinados a saltarse los sistemas de protección
perimetral tales como cortafuegos o detectores
de intrusión.

Un atacante puede causar fallas de conexión y

puede activar el uso de TLS 1.0 para explotar
vulnerabilidades como BEAST (Exploit Exploit
Nueva Externo
Against SSL / TLS) y de esta manera interceptar
la comunicación para descifrar u obtener tokens
de autenticación.

Un atacante podría aprovechar estos datos para

generar errores que no estén siendo tratados y
Nueva Externo
obtener información interna para ser usada en
nuevos ataques más sofisticados y dirigidos.

Si se permite el método PUT, los usuarios

pueden cargar contenido en el sitio web y con
Nueva Externo
método DELETE podrían llegar a borrar
contenido de la página web.
 Un atacante podría aprovechar esta
vulnerabilidad para forzar al navegador a
Nueva Externo
transmitir una cookie que contenga información
de sesión a través de un canal inseguro

El archivo robots.txt contiene algunas instancias

Nueva Externo
de la aplicación que deberían estar ocultas.

Un atacante puede acceder a dichas

Nueva Externo
credenciales desde el navegador.
 CONTROL DE REMEDIACION DE VULNERABILIDADES
Vulnerabilidad

Función insegura

Ataque de Fuerza Bruta

Token de Sesión en
URL
Comunicación insegura

Divulgación de Servidor

Divulgación de software
 Clickjacking

Revelación de la
dirección IP interna

Protocolo de transporte
inseguro

Gestión incorrecta de
errores

Métodos HTTP
potencialmente
peligrosos
Protección inadecuada
de Cookies

Presencia de archivo
Robots.TXT

Almacenamiento de
credenciales en el
navegador
ONTROL DE REMEDIACION DE VULNERABILIDADES
Descripción de la vulnerabilidad

Se ha identificado una debilidad en la transmisión de peticiones y respuestas de la función de

registro la cual al finalizar un registro envía un correo electrónico al usuario en el cual le da la
bienvenida y le solicita "asignar contraseña y activar".
En una prueba de concepto fue posible capturar la petición de envió de mensaje y modificar
contenido del mensaje como también el link que envía para activación de contraseña permitiendo
de esta manera poner un texto fraudulento y cambiar en enlace redirigiendo al usuario a un sitio
diferente.

Después de capturar la petición es posible modificar todos los parámetros, como correo de destino,
contenido del mensaje y enlace de redirección.

Esta vulnerabilidad es tan grave que puede servir para engañar a clientes legítimos y afectar la
reputación del sitio y sus propietarios.

Host vulnerable: app.conjuntoaldia.com

Debido a la falta de validación de los Request HTTP y a que los parámetros de consulta viajan en
texto claro, es posible usar un ataque de fuerza bruta que envié correos masivos con mensajes y
enlaces maliciosos a un diccionario de direcciones de correo electrónico.

Adicional seria posible realizar un ataque de denegación de servicio ya que no se esta validando el
uso de una petición repetidamente y esto puede llevar a un rápido aforamiento de los recursos de
la maquina

Host vulnerable: app.conjuntoaldia.com

La información confidencial dentro de las URL puede registrarse en varias ubicaciones, incluido el
navegador del usuario, el servidor web y cualquier servidor proxy directo o inverso entre los dos
puntos finales. Las direcciones URL también pueden mostrarse en la pantalla, marcarlas o
enviarlas por correo electrónico a los usuarios.

El token de sesión que viaja en la url del host app.conjuntoaldia.com esta codificado en base64 y
se evidencia que viajan los datos del usuario lo que posiblemente y con dedicación y tiempo podría
permitir un ataque de elevación de privilegios y acceso a cuentas de otros usuarios.
Se ha evidenciado que la aplicación utiliza un protocolo seguro como HTTPS, sin embargo se ha
identificado que un atacante que logrará suplantar el certificado SSL puede observar en texto plano
en las peticiones http información sensible de los usuarios ingresada en los formularios de registro
y login.
Se evidencio que la contraseña del usuario viaja en base64 el cual es considerado inseguro y es
posible decodificarlo para conocer las credenciales de acceso de un determinado usuario.

Host vulnerable: app.conjuntoaldia.com

En el host administracionaldia.segurosbolivar.com es posible ver en texto claro las credenciales

de acceso de los usuarios

En una exploración de red se ha evidenciado que los servidores web revelan versiones de software
por medio de Banner Grabbing.

Dicha información podría permitir a un atacante obtener información especifica de la maquina para
finalmente utilizarla con propósitos maliciosos aprovechando que en este caso existen
vulnerabilidades conocidas y publicadas en la red para las versiones expuestas.

Las versiones y host afectados se describen a continuación:

app.conjuntoaldia.com
Apache
PHP 5.6.40 >https://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/version_id-
298516/PHP-PHP-5.6.40.html

www.conjuntoaldia.com
nginx 1.16.1> https://www.cvedetails.com/vulnerability-list/vendor_id-10048/product_id-
17956/Nginx-Nginx.html
awselb 2.0

Las versiones de software expuestas tienen vulnerabilidades y exploits conocidos en la red lo que
representan brechas de seguridad criticas

Por medio del análisis de las respuestas de las solicitudes HTTP, se encontraron versiones de
software en los siguientes host:

app.conjuntoaldia.com
Apache
PHP 5.6.40 >https://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/version_id-
298516/PHP-PHP-5.6.40.html

www.conjuntoaldia.com
nginx 1.16.1
nose.js como lenguaje de desarrollo

Las versiones de software expuestas tienen vulnerabilidades y exploits conocidos en la red lo que
representan brechas de seguridad criticas
Clickjacking (ataque de reparación de interfaz de usuario, ataque de reparación de UI, reparación
de UI) es una técnica maliciosa de engañar a un usuario de la Web para que haga clic en algo
diferente de lo que el usuario percibe que está haciendo clic, lo que potencialmente revela
información confidencial o toma el control de su computadora mientras haciendo clic en páginas
web aparentemente inocuas.

En una prueba de concepto se embebido el sitio en un iframe que tiene un login falso.

Host afectados:
app.conjuntoaldia.com
www.conjuntoaldia.com
administracionaldia.segurosbolivar.com

Se trata de una vulnerabilidad de fuga de información. La revelación de direccionamiento IP de la

red interna del servidor Web puede obtenerse de diversas formas: infamación de cabeceras del
protocolo HTTP, comentarios en código fuente HTML, visualización de logs del servidor, etc...

Se detectó que el servidor web admite el protocolo de seguridad de transporte inseguro (TLS 1.0).
Los sitios web que usan TLS 1.0 serán considerados no conforme por PCI después del 30 de junio
de 2018.
Host afectados:
app.conjuntoaldia.com
www.conjuntoaldia.com

Se ha evidenciado que al buscar rutas no existentes en la URL, el sistema genera errores que no
se están tratando adecuadamente y entregan información de la aplicación como la utilización de
awselb 2.0
El host afectado es:
app.conjuntoaldia.com

El método HTTP PUT y DELETE está permitido en este servidor web.

Se ha identificado un incorrecto aseguramiento de las cookies de los sitios web.

Lo que puede permitir a un usuario no autorizado el robo de la cookie y su posterior utilización para
suplantar la identidad de un usuario valido.

Las cookies y host afectados son:

app.conjuntoaldia.com cookie PHPSESSID no tiene configuradas las banderas "Secure" ni "http
only"

administracionaldia.segurosbolivar.com cookies "_ga" y "_gid_"no tienen configuradas las banderas

"Secure" ni "http only"

El archivo robots.txt se utiliza para dar instrucciones a los robots web, como los rastreadores de los
motores de búsqueda, sobre las ubicaciones dentro del sitio web que los robots pueden, o no
permiten, rastrear e indexar.
La presencia del archivo robots.txt no presenta ningún tipo de vulnerabilidad de seguridad. Sin
embargo, a menudo se usa para identificar áreas restringidas o privadas de los contenidos de un
sitio. Por lo tanto, la información en el archivo puede ayudar a un atacante a mapear los contenidos
del sitio, especialmente si algunas de las ubicaciones identificadas no están vinculadas desde
ningún otro lugar del sitio. Si la aplicación se basa en robots.txt para proteger el acceso a estas
áreas, y no impone el control de acceso adecuado sobre ellas, entonces esto presenta una
vulnerabilidad grave.

Esta vulnerabilidad permite la enumeración de componentes encontrando por ejemplo el archivo

"sitemap.xml" que muestra un diccionario de todos los componentes del portal

Host afectado: www.conjuntoaldia.com

La aplicación permite que el navegador pueda recordar las credenciales de usuario que se
introducen en el formulario de ingreso. Considerado que dicha función puede ser configurada tanto
por el usuario como por aplicaciones que emplean credenciales, existe el riesgo que un usuario de
la aplicación almacene de forma local las contraseñas y que atacante que logré tener control sobre
el computador pueda acceder a las mismas. Además, un atacante también podría utilizar una
vulnerabilidad para ejecución de scripts entre sitios (XSS), para recuperar desde otra aplicación las
credenciales almacenadas en el navegador.

Host afectados:
app.conjuntoaldia.com
www.conjuntoaldia.com
administracionaldia.segurosbolivar.com
Tipo de vulnerabilidad Categoría Severidad Impacto para el negocio

Informática Validación datos CRITICO CRITICO

Informática Configuración insegura CRITICO CRITICO

Informática Divulgación de información CRITICO ALTO

Informática Debilidades de cliente ALTO MEDIO

Informática Divulgación de información ALTO ALTO

Informática Divulgación de información MEDIO ALTO

 Informática Configuración insegura MEDIO MEDIO

Informática Divulgación de información MEDIO MEDIO

Comunicaciones Criptografía MEDIO MEDIO

Informática Gestión errores MEDIO MEDIO

Informática Configuración insegura MEDIO MEDIO

Informática Configuración insegura MEDIO BAJO

Informática Configuración insegura BAJO MEDIO

Informática Configuración insegura BAJO BAJO

Evidencia CVE/OTG/OWASP

Evidencia CWE-311

EvidenciaA6:2017 Configuración de Seguridad Incorrecta

Evidencia OWASP-Top 10-2017 A1-Injection

Evidencia CWE-311

Evidencia OTG-INFO-002

Evidencia OTG-INFO-002
Evidencia CWE-693

Evidencia OTG-INFO-002

Evidencia CVE-2011-3389

Evidencia OTG-ERR-002

EvidenciaA6:2017 Configuración de Seguridad Incorrecta

Evidencia OTG-SESS-002

Evidencia CVE-2019-0169

Evidencia OTG-AUTHN-005
 Plan de acción / Recomendación Prioridad de implementación

Proteger toda la información sensible de la aplicación,

implementado mecanismos de cifrado y/o enmascaramiento de
datos a pesar que el tráfico se dirija a través del protocolo
ALTA
HTTPS. Adicionalmente, validar el tráfico relacionado con lo
demás formularios de la aplicación e identificar si existe
información sensible que debe ser cifrada y/o enmascarada.

Se recomienda implementar mecanismos como el captcha que

dificultan la realización de ataques de fuerza bruta en los
diferentes campos de la aplicación web una vez que esto ALTA
incluye el servicio web. Adicional añadir un token único por
sesión de usuario, para evitar ataques de re inyección.

Las aplicaciones deben usar un mecanismo alternativo para

transmitir tokens de sesión, como cookies HTTP o campos
ocultos en formularios que se envían utilizando el método
POST.
ALTA
Referencias:
https://www.owasp.org/index.php/Information_exposure_throug
h_query_strings_in_url
https://cwe.mitre.org/data/definitions/598.html
Proteger toda la información sensible de la aplicación,
implementado mecanismos de cifrado y/o enmascaramiento de
datos (HASH) a pesar que el tráfico se dirija a través del
ALTA
protocolo HTTPS. Adicionalmente, validar el tráfico relacionado
con lo demás formularios de la aplicación e identificar si existe
información sensible que debe ser cifrada y/o enmascarada.

Se recomienda editar el archivo httpd.conf limitando la

información mostrada por este:
ALTA
Es necesario actualizar los software a versiones seguras y
aplicar todos los parches de seguridad lanzados por el
fabricante.

Deben eliminarse todos los datos de la respuesta del servidor,

que no se utilicen en el procesamiento del cliente, como por
ejemplo, las versiones de los servicios que se ofrecen. Una
configuración adecuada del servidor web deberá evitar divulgar ALTA
la versión del mismo o de sus componentes.

Actualizar las tecnologías instaladas

onfigure su servidor web para incluir un encabezado X-Frame-
Options. Consulte las referencias web para obtener más MEDIA
información sobre los posibles valores para este encabezado.

Validar con el proveedor de Netscaler como se puede realizar

la mitigacion de esta vulnerabilidad - Referencia:
MEDIA
http://itgeekchronicles.co.uk/2012/01/03/netscaler-making-
sense-of-the-cookie-part-1/

Actualizar el protocolo TLS a la versión más reciente 1.2.

Más información:
MEDIA
https://wiki.crashtest-
security.com/display/KB/Prevent+SSL+BEAST

En primera instancia deben verificarse todos los parámetros

que se envían en cada solicitud HTTP con el fin de validar
caracteres especiales o extraños que puedan comprometer la
lógica en el backend, para esto es posible implementar una
capa Middleware que reciba todas las solicitudes HTTP antes
de enviarse a los respectivos controladores.
MEDIA
Por otra parte, en caso de cualquier error se debe redirigir al
usuario a una página estática codificada y configurada en el
servidor web, IIS, Apache y Nginx tienen dentro de su
configuración un módulo de páginas de error (400, 404, 500,
etc.). Asimismo, cada excepción debe registrarse en un archivo
de log asegurado correctamente en el servidor (permisos
adecuados, evitar el 777).

Se recomienda deshabilitar el método PUT y DELETE en el

MEDIA
servidor web.
Procedimiento para asegurar cookies:
- Crear sólo las cookies necesarias para la aplicación y
directorio correspondiente
- Limitar la información almacenada en las cookies a lo
estrictamente necesario y bajo ningún punto de vista almacenar
información sensible (contraseñas, IDs, tarjetas de crédito, etc.)
- Utilizar "HTTP-Only" para evitar el uso de ataques y scripts
genéricos de XSS
MEDIA
- En caso de aplicaciones e información sensible es preferible
enviar las cookies sólo a través de canales cifrados. Si la
aplicación ya se ejecuta sobre HTTPS, el costo de hacer esto
es casi nulo: agregar "Secure = True" al momento de crear la
cookie
Al igual que cualquier otro dato de entrada, validar del lado de
servidor toda la información recibida en las cookies, ya que la
misma pudo haber sido manipulada por el cliente.

Verifique que el uso de este archivo no sea para gestión de

acceso, de lo contrario se recomienda usar métodos
alternativos. No debe suponer que todos los sitios web
respetarán las instrucciones del archivo. Por el contrario,
suponga que los atacantes prestarán mucha atención a las BAJA
ubicaciones identificadas en el archivo. No confíe en robots.txt
para proporcionar ningún tipo de protección sobre el acceso no
autorizado.
De ser posible, elimine este archivo.

La función de autocompletar debe estar desactivada en

aplicaciones sensibles.
Para deshabilitar el autocompletado, puede usar un código
similar a:

<INPUT TYPE="password" AUTOCOMPLETE="off">

BAJA
En caso de que la solución anterior no tenga efecto en todos
los navegadores, se recomienda que justo cuando se vaya a
enviar el payload de login, se almacenen los valores de usuario
y contraseña en otras variables externas y limpiar el formulario
HTML de manera que el navegador no pueda almacenarlas.
Complejidad de implementación Responsable de Plan de Acción/Remediación

ALTA

ALTA

ALTA
ALTA

ALTA

MEDIA
MEDIA

MEDIA

MEDIA

MEDIA

MEDIA
MEDIA

MEDIA

MEDIA
Fecha compromiso remediación Versión
Nota: en el portal administracionaldia.segurosbolivar.com, se identifico que el portal realiza cargue de archivos, sin embargo,
solo permite el cargue de archivos los primeros 10 dias del mes.
rgue de archivos, sin embargo, esta funcionalidad no se pudo verificar dado que el sistema
 Función insegura
Cambio de mensaje original del correo electrónico (petición modificada y mensaje reflejado en la respuesta)

buzón del usuario

Modificación del botón de redirección para asignar contraseña y activar

Se cambia por un enlace de redirección diferente

Al dar click en el botón el usuarios es re direccionado a un sitio diferente al original

Es posible cambiar la dirección de correo electrónico de destino

Ataque de Fuerza Bruta

Es posible enviar cualquier cantidad de correos a uno o distintos usuarios
 Token de Sesión en URL

Base64 decodificado

Comunicación insegura
Información en texto claro
Credenciales en base64
Divulgación de Servidor

Divulgación de software

Clickjacking
Revelación de la dirección IP interna
 Protocolo de transporte inseguro

Gestión incorrecta de errores

Métodos HTTP potencialmente peligrosos

Protección inadecuada de Cookies

Presencia de archivo Robots.TXT
Almacenamiento de credenciales en el navegador
e reflejado en la respuesta)
r