SEGURIDAD EN BASE

DE DATOS
Fredy León Socha

EJE 4
Propongamos

Fuente: Shutterstock/597024146
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Práctica de seguridad en BD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
ÍNDICE
 Introducción

Las aplicaciones basadas en web cada vez son más llamativas para los ciberde-
lincuentes por las vulnerabilidades o defectos no identificados por los programa-
dores, en su mayoría por el desconocimiento adecuado en seguridad de datos y
por las malas prácticas de no hacer un uso continuo de las distintas herramientas
para testear aplicaciones e identificar posibles vulnerabilidades.

Las consecuencias que acarrea una deficiencia en seguridad son nefastas

para las organizaciones: se pierden recursos, credibilidad, clientes, información
valiosa; responsabilidades jurídicas y pérdida de clientes, entre otras. Esto per-
INTRODUCCIÓN

mite reflexionar en torno a la pregunta: ¿de qué manera se podría realizar un

análisis de vulnerabilidades en sistemas informáticos basados en web y posterior
divulgación de resultados?

Es necesario que las organizaciones o el personal encargado del área de segu-

ridad de datos planee e implemente planes de acción enfocados a fortalecer la
seguridad de las aplicaciones web, tomando como punto de partida un análisis
crítico de dichos sistemas para que posteriormente se documente el proceso rea-
lizado y se den a conocer los resultados obtenidos.
 Práctica de
seguridad en BD
 Instrucción

Como apertura de la temática se invita a revisar la

animación: Estadísticas de seguridad web.

Ahora bien, teniendo en cuenta el enfoque de esta unidad se plantea el uso de la meto-
dología OWASP, una herramienta disponible bajo licencia de software libre y de código
abierto que permite el mejoramiento de la seguridad del software de aplicación enfocado
en la web para tomar decisiones acerca de los riesgos de seguridad de la aplicación.

Lectura recomendada

Para desarrollar la metodología, OWASP ha creado el documento:

Testing Guide de OWASP

OWASP

Allí se muestra de forma organizada el procedimiento de ejecución de la meto-

dología para auditar eficazmente la seguridad de una aplicación web y sus
correspondientes motores de bases de datos.

También ha publicado una excelente guía llamada

OWASP Top 10 - 2017 Los diez riesgos más críticos en Aplicaciones Web
OWASP

Es de gran utilidad a la hora de implementar una auditoria con OWASP.

La metodología OWASP propone dos fases principales:

• La fase pasiva que busca comprender la lógica de funcionamiento del sistema e

identificar posibles túneles de ataques o vulnerabilidades a través del uso normal de
la aplicación o pruebas de funcionalidades, por mencionar algunas.

• La fase activa en la que se realiza un proceso minucioso de análisis teniendo en

cuenta las 10 subcategorías planteadas para esta fase y las actividades que se de-
ben desarrollar en cada una de ellas. La figura 1 relaciona las subcategorías de la
fase activa.

Seguridad en base de datos - eje 4 propongamos 5

 Recopilación de información

Pruebas de gestión de la
configuración

Pruebas de la lógica del negocio

Pruebas de autenticación

Pruebas OWASP
Pruebas de autorización

Pruebas de gestión de sesiones

Pruebas de validación de datos

Pruebas de denegación de servicio

Pruebas de servicios web

Pruebas AJAX

Figura 1. Subcategorías pruebas de vulnerabilidades según OWASP

Fuente: propia

A continuación, se explica cada una de sobre la cual se cimienta la aplicación, lo

ellas:
Recopilación de información: reco-
lectar la mayor cantidad de información
posible acerca de la aplicación a analizar.
Para esto se puede hacer uso de buscado-
res, analizar códigos de errores, puntos de
entrada y salida, firmas digitales y hacer
uso de herramientas de software como
Robots, Spiders y Crawlers.
Pruebas de gestión de la configura-
ción: el análisis se enfoca en el diseño de
la arquitectura y la infraestructura lógica
que permite identificar fallos en códigos
fuente, la forma de autenticar a los usua-
rios, las configuraciones de software y las
funcionalidades del sistema, entre otros. La
figura 2 relaciona las diferentes pruebas a
realizar en esta categoría.
Spiders
Son robots automáticos que utilizan la mayoría de los grandes
buscadores internacionales y conocidos para indexar los sitios en
sus motores de búsqueda.
Crawlers
Conocido también como rastreador, es un programa que analiza
los documentos de los sitios web.

Seguridad en base de datos - eje 4 propongamos 6

 Métodos
HTTP y XST

Archivos
Gestión de antiguos, copias
extensiones de seguridad y
de archivo sin referencias

Interfaces de
Pruebas de gestión administración
de configuración (infraestructura y
aplicación)

Pruebas de
gestión de
Pruebas de
configuración de
SSL/TLS
la infraestructura
Pruebas del
receptor de
escucha de la BD

Figura 2. Pruebas para la gestión de la configuración según OWASP

Fuente: propia

Pruebas de lógica del negocio: se Comprobación del sistema de auten-

deben aplicar situaciones adversas o que
no sigan el procedimiento que previamente
es definido para realizar una acción den-
tro de la aplicación. Por ejemplo: si para
ingresar se plantea seguir los pasos A, B y C;
las pruebas se enfocan en comprobar qué
pasa con la aplicación si el usuario omite
alguno de los pasos (muestra un mensaje
de error de acceso, error 500, permite acce-
der o genera un fallo inesperado).
ticación: en este sentido se deben analizar
dos factores: confirmar la procedencia de
un objeto (dato) y verificar la identidad de
una persona. En seguridad informática, la
autenticación es el proceso de intentar veri-
ficar la identidad digital del remitente de
una comunicación. Dentro de este proceso
se encuentran una variedad de pruebas que
se deben efectuar, las cuales se relacionan
en la figura 3.

Seguridad en base de datos - eje 4 propongamos 7

 Transmisión de
credenciales a
través de un
canal cifrado

Pruebas Enumeración de
de Captcha usuarios

Pruebas de Pruebas de
gestión del diccionario sobre
caché de cuentas de usuario
navegación y de o cuentas
salida de sesión predeterminadas

Comprobar
sistemas de
recordatorio/ Pruebas de fuerza
restauración de bruta y
contraseñas situaciones
vulnerables adversas
Saltarse el
sistema de
autenticación

Figura 3. Pruebas comprobación del sistema de autenticación

Fuente: propia

Gestión de sesiones: centrada en las cómo se lleva a cabo el proceso de autori-

acciones que realiza el usuario, desde su
autenticación hasta cuando finaliza la
sesión, teniendo en cuenta el contexto de
los requisitos de software y lo que espera
el proveedor.
Pruebas de autorización: tiene que ver
con el control de acceso a cierta informa-
ción o recursos por parte de los usuarios
que tienen los permisos para esto. En este
apartado lo que se busca es comprender
zación de la aplicación, para que a partir de
esto se puedan generar mecanismos para
saltarse dicho proceso.
Pruebas de denegación de servicio: con
el DoS (denial of service) se busca enviar
un alto volumen de tráfico al servidor para
que este no tenga la capacidad suficiente
de responder a las peticiones y termine
por bloquear el sistema o generar malos
funcionamientos.

Seguridad en base de datos - eje 4 propongamos 8

 Pruebas AJAX: una de las desventajas
de esta técnica de desarrollo web es que
es mucho más propensa a ataques que las
técnicas convencionales como php o html,
e implican mayor tiempo de procesamiento
por parte del servidor. Teniendo en cuenta
esto, se deben realizar las pruebas de fun-
cionamiento y rendimiento de los módulos
AJAX que hayan sido implementados en la
aplicación web.
Pruebas de validación de datos: veri-
ficar qué pasa cuando se ingresan datos
no convencionales o que no se encuentren
dentro de los formatos definidos o común-
mente utilizados como entradas de la apli-
cación. Esto permite detectar si el sistema
es propenso a vulnerabilidades de tipo
inyección SQL; ataques de tipo unicode,
alteración de archivos o desbordamiento
de buffer, entre otros.
Video
Para aprender su uso, se recomienda
ver el video:
Introducción y ejemplos de OWASP Zap
https://youtu.be/I951MaqAkB4
Instrucción
Para comprobar el nivel de aprendizaje de este
tema, realice la actividad: emparejamiento,
sobre la metodología OWASP.
Pruebas de servicios web: comprobar
si a través de los servicios web se puede
acceder a información relevante, se pue-
den generar vulnerabilidades de tipo XML,
si funcionan adecuadamente, etcétera, ya
que estos están expuestos a cualquier otro
cliente en la red o fuera de ella. Entre las
pruebas específicas están: pruebas estructu-
rales de XML, comprobación de XML a nivel
de contenido, comprobación de parámetros
HTTP GET/REST, adjuntos SOAP maliciosos,
pruebas de repetición, etc.
Ahora bien, ya que se tiene clara la meto-
dología a seguir, es necesario conocer qué
herramienta facilita este proceso. Para este
fin se plantea el uso de OWASP ZAP una
herramienta de código abierto que permite
realizar ataques pentesting o ataques de
penetración al sistema, con el fin de generar
una auditoría de las posibles vulnerabilidades.
Visitar página
Esta herramienta se puede descar-
gar gratuitamente desde la página
oficial de OWASP:
OWASP Zed Attack Proxy Project
https://goo.gl/b5h4gm
Seguridad en base de datos - eje 4 propongamos 9
 Bibliografía

OWASP. (2013). Testing Guide de OWASP 4.0. (Documento Guía). Recuperado de

https://www.owasp.org/images/1/19/OTGv4.pdf

OWASP. (2017). OWASP Top 10 - 2017 Los diez riesgos más críticos en Aplicaciones
Web. Recuperado de https://www.owasp.org/images/5/5e/OWASP-Top-10-
2017-es.pdf

Díaz, D. [DiazSecurity]. (2017,04,05). Introducción y ejemplos de OWASP Zap.

[Archivo de video]. Recuperado de https://youtu.be/I951MaqAkB4

León, F.A., Barrera, N., y Chaparro, J. E. (2016). Módulo de Agrometría basado

BIBLIOGRAFÍA

en plataforma Android y Bluetooth RN45,”AGROAPP”. Gerencia Tecnológica

Informática, 15(41), 17-31.

Unitropico. (2016). Lectura de Artículos Científicos. Recuperado de http://

investigacion.unitropico.edu.co / wp-content /uploads /2016/09/Charla-
Art%C3%ADculosN3.pdf

de Dios, J. G., González-Muñoz, M., Alonso-Arroyo, A., y Aleixandre-Benavent, R.

(2013). Comunicación científica (VI). conocimientos básicos para elaborar un
artículo científico. Acta Pediátrica Española, 71(10), 229-235.

Leal, M. [ Biblioteca UDCA]. (2012,08,14). Búsqueda de Artículos Científicos.

[Archivo de video]. Recuperado de https://youtu.be/3x9p3gSWVuo