Fortify on Demand

Revisión de seguridad
Inquilino: Servientrega SA
Aplicación: Ciclo del Ingreso
Versión: Ambiente productivo
Análisis más reciente: 2021/05/25 01:18:46 PM
Último tipo de evaluación: Static Assessment
Resumen ejecutivo
Inquilino: Servientrega SA Clasificación de seguridad de
Aplicación: Ciclo del Ingreso Fortify on Demand
Versión: Ambiente productivo
Importancia para el negocio: Alto 435 problemas Estado: Fallido
Estado de SDLC: Producción
Fecha del análisis estático: 25/05/2021 Estático: Dinámico:

Fecha del análisis dinámico: ---

Código
Supervisión:
abierto:

Totales de riesgo por gravedad Estado del problema

Nuevo Existente Reabierto

435 0 0

Estado de la asignación

Problemas más frecuentes por categoría Estado del desarrollador

Estado del auditor

Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
2
Desglose de problemas
Los problemas se dividen en función de su repercusión (daño potencial) y probabilidad (probabilidad
de identificación y aprovechamiento).
Los problemas de alta repercusión y alta probabilidad representan la máxima prioridad y constituyen
una mayor amenaza.
Los problemas de baja repercusión y baja probabilidad representan la mínima prioridad y constituyen
una menor amenaza.
Consulte el Apéndice para obtener más información.

Clasifica… Categoría Tipo de…

Crítico Cross-Site Scripting: DOM Static As… 4
Crítico Insecure Transport Static As… 2
Crítico Insecure Transport: Database Static As… 39
Crítico Password Management: Insecure Submission Static As… 6
Crítico Password Management: Password in HTML Form Static As… 1
Crítico Path Manipulation Static As… 142
Crítico Privacy Violation Static As… 4
Alto Cookie Security: Session Cookie not Sent Over SSL Static As… 5
Alto Log Forging Static As… 12
Alto Mass Assignment: Insecure Binder Configuration Static As… 3
Alto Mass Assignment: Sensitive Field Exposure Static As… 1
Alto Missing XML Validation Static As… 1
Alto Null Dereference Static As… 76
Alto Password Management: Password in Configuration File Static As… 42
Alto Path Manipulation Static As… 87
Alto Privacy Violation: Autocomplete Static As… 6
Alto Server-Side Request Forgery Static As… 1
Alto Unreleased Resource: Streams Static As… 1
Alto Unreleased Resource: Unmanaged Object Static As… 1
Bajo Cookie Security: Cookie not Sent Over SSL Static As… 1

Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
3
Desglose de problemas por OWASP Top 10 2017
Secciones 6.3, 6.5 y 6.6 de PCI
OWASP Top Ten representa un amplio consenso acerca de cuáles son los fallos de seguridad de
aplicaciones web más críticos. Los miembros del proyecto incluyen varios expertos en seguridad de
todo el mundo que han compartido sus conocimientos para elaborar la lista.
Los estándares de conformidad PCI, en concreto las secciones 6.3, 6.5 y 6.6, hacen referencia a las
categorías de vulnerabilidad de OWASP Top Ten como las categorías principales que se deben probar
y solucionar.

Categoría de OWASP Gravedad

Crítico Alto Medio Bajo
A1 - Injection 13
A2 - Broken Authentication
A3 - Sensitive Data Exposure 52 53 1
A4 - XML External Entities (XXE)
A5 - Broken Access Control 142 92
A6 - Security Misconfiguration
A7 - Cross-Site Scripting (XSS) 4
A8 - Insecure Deserialization
A9 - Using Components with Known …
Total 198 158 1

Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
4
Desglose de problemas por tipo de análisis
Los problemas se dividen en función de su repercusión (daño potencial) y probabilidad (probabilidad
de identificación y aprovechamiento).
Los problemas de alta repercusión y alta probabilidad representan la máxima prioridad y constituyen
una mayor amenaza.
Los problemas de baja repercusión y baja probabilidad representan la mínima prioridad y constituyen
una menor amenaza.
Consulte el Apéndice para obtener más información.

Categoría Estático Dinámico Código … Supervi…

Cookie Security: Cookie not Sent Over SSL 1 0 0 0
Cookie Security: Session Cookie not Sent Over SSL 5 0 0 0
Cross-Site Scripting: DOM 4 0 0 0
Insecure Transport 2 0 0 0
Insecure Transport: Database 39 0 0 0
Log Forging 12 0 0 0
Mass Assignment: Insecure Binder Configuration 3 0 0 0
Mass Assignment: Sensitive Field Exposure 1 0 0 0
Missing XML Validation 1 0 0 0
Null Dereference 76 0 0 0
Password Management: Insecure Submission 6 0 0 0
Password Management: Password in Configuratio… 42 0 0 0
Password Management: Password in HTML Form 1 0 0 0
Path Manipulation 229 0 0 0
Privacy Violation 4 0 0 0
Privacy Violation: Autocomplete 6 0 0 0
Server-Side Request Forgery 1 0 0 0
Unreleased Resource: Streams 1 0 0 0
Unreleased Resource: Unmanaged Object 1 0 0 0
Total 435 0 0 0

Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
5
Apéndice: Descripciones de términos clave
Clasificación de seguridad
La clasificación de evaluación de cinco estrellas de Fortify on Demand ofrece información sobre la
probabilidad y la repercusión de los defectos presentes en una aplicación. Una clasificación perfecta
del sistema serían cinco estrellas, lo que indicaría que no se han descubierto vulnerabilidades de gran
repercusión.

Clasificación

Fortify on Demand otorga una estrella a las aplicaciones que se han sometido a
una revisión de seguridad que identifica problemas críticos (alta probabilidad y
alta repercusión).

Fortify on Demand otorga dos estrellas a las aplicaciones que se han sometido a
una revisión de seguridad que no identifica ningún problema crítico (alta
probabilidad y alta repercusión). Las vulnerabilidades que son fáciles de
aprovechar y que tienen una alta repercusión técnica o empresarial no deberían
existir en software crítico para la empresa.
Fortify on Demand otorga tres estrellas a las aplicaciones que se han sometido
a una revisión de seguridad que no identifica ningún problema de gravedad alta
(baja probabilidad y alta repercusión) y que cumplen con los requisitos
necesarios para recibir dos estrellas. Las vulnerabilidades que tienen una alta
repercusión (incluidas aquellas que no son fáciles de aprovechar) no deberían
existir en software crítico para la empresa.
Fortify on Demand otorga cuatro estrellas a las aplicaciones que se han
sometido a una revisión de seguridad que no identifica ningún problema de
gravedad media (alta probabilidad y baja repercusión) y que cumplen con los
requisitos para recibir tres estrellas. Deben considerarse con cuidado las
vulnerabilidades que tienen una baja repercusión y que son fáciles de
aprovechar, ya que pueden suponer una amenaza mayor si un atacante saca
partido de muchas de ellas durante un esfuerzo coordinado o si aprovecha una
vulnerabilidad de baja repercusión como punto de partida para organizar un
ataque de alta repercusión.

Fortify on Demand otorga cinco estrellas (la clasificación más alta) a las
aplicaciones que se han sometido a una revisión de seguridad que no identifica
ningún problema.

Probabilidad y repercusión
Probabilidad
La probabilidad es el potencial de identificación y aprovechamiento correcto de una vulnerabilidad.
Repercusión
La repercusión es el daño potencial que podría provocar un atacante en los activos mediante el
correcto aprovechamiento de una vulnerabilidad. Este daño puede tomar la forma de pérdidas
financieras, infracciones de conformidad, pérdida de reputación de marca y publicidad negativa, entre
otros.

Orden de prioridad de Fortify on Demand

Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
6
Crítico
Los problemas de prioridad crítica tienen una gran repercusión y una alta probabilidad. Los problemas
de prioridad crítica son fáciles de detectar y aprovechar, y pueden provocar grandes daños a los
activos. Estos problemas representan el mayor riesgo de seguridad para la aplicación. Por lo tanto, se
deben corregir de inmediato.
La inyección de SQL es un ejemplo de problema crítico.
Alto
Los problemas de prioridad alta tienen una gran repercusión y una baja probabilidad. Los problemas
de prioridad alta suelen ser difíciles de detectar y aprovechar, pero pueden provocar grandes daños a
los activos. Estos problemas representan un alto riesgo de seguridad para la aplicación. Los
problemas de prioridad alta se deben corregir en la siguiente versión de revisión programada.
Administración de contraseñas: la contraseña codificada de forma rígida es un ejemplo de problema
de gravedad alta.
Medio
Los problemas de media prioridad tienen poca repercusión y una alta probabilidad. Los problemas de
media prioridad son fáciles de detectar y aprovechar, pero suelen provocar pequeños daños a los
activos. Estos problemas representan un riesgo de seguridad moderado para la aplicación. Los
problemas de media prioridad se deben corregir en el siguiente producto programado.
La manipulación de rutas es un ejemplo de problema de gravedad media.
Bajo
Los problemas de baja prioridad tienen poca repercusión y una baja probabilidad. Los problemas de
baja prioridad pueden ser difíciles de detectar y aprovechar, y suelen provocar pequeños daños a los
activos. Estos problemas representan un riesgo de seguridad menor para la aplicación. Los problemas
de baja prioridad se deben corregir si es posible.
El código no alcanzado es un ejemplo de problema de gravedad baja.

Estado del problema

Nuevo
Los problemas nuevos son los que se han identificado por primera vez en el análisis más reciente de
la aplicación.
Existente
Los problemas existentes son problemas que se han encontrado en análisis previos de la aplicación y
que siguen presentes en el análisis más reciente.
Reabierto
Los problemas reabiertos se detectaron en un análisis previo de la aplicación, pero no estaban
presentes en análisis posteriores. Estos problemas vuelven a encontrarse en el análisis más reciente
de la aplicación.

Este informe contiene información CONFIDENCIAL de Micro Focus, incluidos, pero no de forma exclusiva, análisis, técnicas de análisis y
recomendaciones de Micro Focus. Es posible que este informe no se haga público, no se utilice con fines competitivos o de consultoría ni se utilice
fuera del ámbito del destinatario.
7