Fundación Universitaria del Área Andina

INGENIERÍA DE SISTEMAS
SEGURIDAD EN BASES DE DATOS
ACTIVIDAD EJE IV – Auditoría de Seguridad.

Nombre: José John Kennedy Bustamante Riaño

Cristian Jacobo Riascos Cortes

Wilton Mauricio Ocampo Villabon

Luis Alejandro Avellaneda Vázquez

José Gildardo Gutiérrez Pico

Fecha: 08 de junio 2020

Profesor: Ángel Alberto Varón Quimbayo

1 Fundación Universitaria Área Andina

 APLICACIÓN DE OWASP A UNA PLATAFORMA WEB USANDO ZAP
Resumen—“las brechas de seguridad
son las principal vulnerabilidad de las
diferentes empresas diseñadoras de
contenido Web, donde estas distribuyen
estas aplicaciones de forma comercial,
para estos se debe incorporar procesos
de intrusión testing para garantizar la
calidad e integridad del desarrollo y así
mejorar la seguridad de las diferentes
aplicaciones en el mercado actual para
así logra el mantenimiento de la
seguridad en las empresas y clientes en
este sentido se dará a conocer unas
etapas de análisis para lograr los
objetivos y metodologías utilizando
tecnologías frente posibles amenazas en
su estructura, en la cual identificar los
riesgos y así proponer medidas para
mitigarlo”.
Palabras Claves
OWASP - Pruebas AJAX
Servicios web - dispositivo IoT
kali Linux - pruebas de penetración
Hacktivismo - JDBC - ZAP: (Zed
Attack Proxy).
Abstract: “security breaches are the
main vulnerabilities of the different
companies designed for web content,
where they distribute these applications
commercially, for these, intrusion
processes must be incorporated for the
quality and integrity of development
and thus improve the security of the
different applications in the current
market in order to achieve the
maintenance of security in companies
and clients in this sense, receive a
knowledge of stages for the analysis to
2 Fundación Universitaria Área Andina
achieve the objectives and
methodologies using technologies
against the possible limitations in its
structure, in the qualify the risks and
thus propose measures to mitigate it ”.
Keywords
OWASP - AJAX Testing web services -
IoT device Kali Linux - Hacktivism
Penetration Tests - JDBC - ZAP: (Zed
Attack Proxy).
INTRODUCCIÓN
La seguridad es un tema vital a la hora de
desarrollar cualquier tipo de aplicación (y
más si es una aplicación que contiene
datos personales o de gran impacto social
y mucho más si, además, va a estar
expuesta como aplicación web accesible a
un gran número de personas). Muchas
veces, es un aspecto al que no se le dedica
todo el esfuerzo y el cariño que se merece.
Es por esto que hay numerosos fallos de
seguridad en las aplicaciones que
comprometen el negocio llegando, incluso,
a provocar pérdidas importantes (pérdidas
tanto de información como pérdidas
monetarias). Los usuarios debemos
sentirnos seguros y tener cierta confianza
en que nuestros datos que estamos
evidenciando van a ser protegidos contra
posibles ataques (aunque lo que también
tenemos que tener presente es que nuestra
seguridad es siempre algo que va a estar en
el punto de mira).
Las empresas deben ser responsables de
ofrecer un servicio seguro y poner todos
los esfuerzos posibles en hacer que así sea.
La seguridad debería ser el primer aspecto
a tener en cuenta a la hora de desarrollar
cualquier aplicación y el desarrollo, por
tanto, debería estar guiado o basado en
aplicar metodologías que nos permitan
realizar aplicaciones seguras.
Muchas veces, no es siempre posible
controlar que todo el desarrollo de las
aplicaciones sea seguro (es una formación
muy específica y hay empresas que no
invierten suficiente en dicha formación),
pero lo que sí es posible es realizar
auditorías de seguridad sobre las
aplicaciones ya desarrolladas para
descubrir los posibles fallos de seguridad y
tomar medidas en consecuencia.
Tan importante es una auditoría de código
como una auditoría de seguridad. De poco
nos sirve que nuestra aplicación tenga una
calidad elevada de código si tiene unos
fallos de seguridad importantes a través de
los cuales se puede obtener información
sensible de los usuarios o comprometen
nuestro negocio
Es importante, por tanto, poder disponer
de algún medio de referencia sobre la
seguridad en aplicaciones web y aquellos
fallos de seguridad más comunes dentro de
las mismas. También, sería deseable poder
disponer de herramientas que nos permitan
analizar nuestras aplicaciones y obtener
información de las vulnerabilidades que
tienen. Menos mal que, afortunadamente,
estamos de suerte y existe OWASP
I. OBJETIVOS
La seguridad es un tema vital a la hora de
desarrollar cualquier tipo de aplicación, y
aún más si esta cuenta con información
3 Fundación Universitaria Área Andina
dónde está estará expuesta en las
plataformas web es necesario brindar una
buena integridad disponibilidad y
privacidad en cuanto control y autenticidad
de la información manejaba en la web.
II. MARCO TEÓRICO
Analizar vulnerabilidades es importante
pero ser capaz de estimar el riesgo
asociado para la empresa es igualmente
importante, al principio del ciclo de vida
se puede identificar problemas de
seguridad en la arquitectura o diseño
utilizando modelos de amenazas
posteriormente se pueden encontrar
problemas de seguridad utilizando revisión
de código o pruebas de penetración los
problemas podrían no ser descubiertos
hasta la aplicación esté en producción y
sea comprometida, se debe destacar la
severidad que estos errores percuten de
manera negativa a la empresa la
metodología OWASP donde esta
promueve el uso del desarrollo de software
de manera segura y gratuita, orientada a la
web mejorando todo tipo de seguridad a
través de código abierto definiendo
modelos básicos de seguridad donde en
esta se analiza el riesgo la probabilidad y
el impacto determinando la gravedad
general del riesgo, la cual esta propone
dos fases que busca entender el
funcionamiento del sistema que son la fase
pasiva y la fase activa identificando los
fallos en los ataque diarios que estás
expuesto a la web.
Además, las Auditorías de Seguridad
informática nos permiten conocer en el
momento de su realización cuál es la
situación exacta de sus sistema de
información en cuanto a protección,
control y medidas de seguridad, conocer el
alcance de seguridad con el que se cuenta
en cuestiones seguridad de su sistema
informático (Servidores, Puestos de
Trabajo y Red), utilizando todo tipo de
herramientas y técnicas para averiguar
cuáles son los problemas a los que su
sistema se ha de enfrentar, presentarlos
en un informe y proponer las medidas que
sería necesario aplicar para solucionarlos.
Teniendo en cuenta la metodología de sus
10 subcategorías planteadas de las pruebas
de vulnerabilidad estas se deben tener
presente en las pruebas que se van a
desarrollar buscando los factores de riesgo.
Recopilación de información, Pruebas de
gestión de la configuración , Pruebas de la
lógica del negocio, Pruebas de
autenticación, Pruebas de autorización,
Pruebas de gestión de sesiones Pruebas de
validación de datos, Pruebas de
denegación de servicio Pruebas de
servicios web y Pruebas AJAX, vale la
pena resaltar que estas validaciones juegan
un papel importante en la implementación
de la seguridad al momento de auditar una
aplicación por cada una de ellas, se
recogen los elementos y agentes que
intervienen en esta vulnerabilidad, cómo
prevenirla y ejemplos de escenarios de
ataques para probar si somos vulnerables
Mientras otras metodologías recogen pasos
genéricos para cualquier auditoría de
seguridad OWASP cuenta con diferentes
documentos y proyectos enfocados al
elemento a auditar como hemos visto
anteriormente, no es lo mismo auditar la
seguridad de una aplicación móvil que de
una página web o dispositivo IoT, se
revisarán los diez riesgos más importantes
presentes en aplicaciones web descritos
4 Fundación Universitaria Área Andina
por OWASP en su informe Top 10 del año
2013.
Para revisar estos riesgos se auditarán un
identificarán una serie de problemas de
seguridad presentes en la aplicación web
objetivo de la auditoría y se realizarán una
serie de recomendaciones para mejorar la
seguridad.
III. METODOLOGÍA
La metodología OWASP plantea dos fases
principales:
Fase pasiva en la que se busca comprender
la lógica de funcionamiento del sistema e
identificar posibles túneles de ataques o
vulnerabilidades.
Fase activa en la que se realiza un análisis
minucioso e implementación de diferentes
pruebas de autorización, sesiones,
configuración, lógica del negocio,
denegación del servicio, AJAX, validación
y servicios web.
La herramienta OWASP ZAP permite
realizar ataques pentesting (pruebas de
penetración) o ataques de penetración al
sistema, con el fin de generar una auditoría
de las posibles vulnerabilidades
encontradas en la aplicación web o sistema
de información que se esté analizando.
Es evidente entonces, desde el surgimiento
del Internet y la posibilidad que nos brinda
en mantenernos siempre conectados,
entender como la información y los
medios por la que se transmite toman un
valor crítico en la sociedad actual,
importancia que muchas veces pasa
desapercibida permitiendo la aparición de
nuevas vulnerabilidades que pueden ser
explotadas en caso de no conocerse, o no
solucionarse, poniendo en riesgo la
integridad de unos de los bienes más
valiosos que existen hoy.

Las amenazas surgen a partir de la

existencia de vulnerabilidades, las cuales
pueden ser explotadas por usuarios de alto
nivel en conocimientos técnicos los cuales
generalmente buscan aprovecharse de
estos fallos en los sistemas, impulsados Figura 1. Para el ejercicio con la
por razones como el espionaje industrial herramienta ZAP de OWASP, escogimos
hasta un simple desafío personal o de la el sitio http://asociacionpyme.pe/ , la cual
comunidad hacktivista; es decir que una es una agremiación de pequeños
amenaza sólo puede existir si existe una empresarios, tiene por finalidad impulsar
vulnerabilidad que pueda ser aprovechada, el fortalecimiento institucional del sector
e independientemente de que se de la pequeña empresa en el país Peruano.
comprometa o no la seguridad de un Por tal razón, es una iniciativa abierta a
sistema de información. todos los gremios PYMES de las
diferentes regiones del país Suramericano.
Para gestionar una adecuada planeación de
la auditoría es necesario, seguir una serie
de pasos previos que permitirán
dimensionar el tamaño y características de
área dentro del organismo a auditar sus
sistemas organización y equipo.

Empleando técnicas de Kali Linux para

hacer la respectiva verificación y auditoría
evaluando los sistemas de información en Figura 2. Una vez iniciada nuestra
general desde sus entradas, máquina virtual Kali Linux, corriendo en
procedimientos, controles, archivos, Virtual Box, procedemos a iniciar la
seguridad y obtención de información, la Herramienta ZAP, la cual fue instalada
cual es importante determinar las fallas y como paquete desde el sitio
revisar el buen desempeño de las https://owasp.org/www-project-zap/.
aplicaciones que iremos a revisar ya que
esta herramienta nos proporciona los
controles especializados para que esta
revisión sea confiable haciendo está bien
complejo para captar la información que se
necesita para esta auditoría.

IV DESARROLLO

· Herramienta kali Linux Figura 3. Escogemos la opción Automatic

Scan.

5 Fundación Universitaria Área Andina

Figura 4. Digitamos la dirección
http://asociacionpyme.pe/, a la cual vamos
a efectuar el escaneo pasivo de seguridad.
Figura 7. El escaneo nos muestra una
bandera roja con alerta de falla por
inyección SQL, High Medium

Figura 5. Una vez ingresada la dirección,

damos click en el botón atacar.
Figura 8. Terminado el escaneo
procedemos a generar un reporte, en la
figura se produjo en la opción HTML,
mostrando resultados que se verán más
adelante en el archivo Pdf.

Figura 6. El escaneo va mostrando las

diferentes vulnerabilidades, en la barra
inferior

6 Fundación Universitaria Área Andina

Figura 9. Procedemos a generar el informe
en archivo Pdf Informe Zap Scanning
Report

“Se ha llegado a la conclusión de que los

Figura 10. Encabezado del reporte de
escaneo con ZAP, nos muestra un resumen
de alertas según clasificación, alta, media
y baja.
Con base en el ejercicio de ataque
realizado con la herramienta ZAP, se
pretende revisar los diez riesgos más
relevantes descritos en la documentación
de OWASP Testing Guide.
Es de recomendar al cliente, que el
funcionamiento de un ERP requiere del
uso de una base de datos y está en este
caso se ve comprometida en su seguridad
ya que por la baja calidad en la
codificación hace que se presenten
vulnerabilidades como la descrita en el
documento resultante de la auditoría.
ataques de inyección SQL, son causados
en mayor parte por falta de control de los
datos que se ingresan en los campos de
texto de los formularios en aplicaciones
web, logrando insertar código malicioso
mediante el uso del lenguaje SQL,
alterando de esa manera la estabilidad de
la base de datos que recibe el ataque...”
Soto, M. A. L., Burgueño, A. M. D.,
Ramírez, M. I. T., & Garzón, J. F. P.
(2018). PROTECCIÓN ANTE
ATAQUES DE INYECCIÓN SQL EN
APLICACIONES WEB. Revista Digital
de Tecnologías Informáticas y Sistemas,
2(1).

7 Fundación Universitaria Área Andina

 V. RESULTADO

8 Fundación Universitaria Área Andina

9 Fundación Universitaria Área Andina
10 Fundación Universitaria Área Andina
11 Fundación Universitaria Área Andina
12 Fundación Universitaria Área Andina
13 Fundación Universitaria Área Andina
14 Fundación Universitaria Área Andina
15 Fundación Universitaria Área Andina
16 Fundación Universitaria Área Andina
17 Fundación Universitaria Área Andina
18 Fundación Universitaria Área Andina
19 Fundación Universitaria Área Andina
20 Fundación Universitaria Área Andina
21 Fundación Universitaria Área Andina
22 Fundación Universitaria Área Andina
23 Fundación Universitaria Área Andina
24 Fundación Universitaria Área Andina
25 Fundación Universitaria Área Andina
26 Fundación Universitaria Área Andina
27 Fundación Universitaria Área Andina
28 Fundación Universitaria Área Andina
29 Fundación Universitaria Área Andina
30 Fundación Universitaria Área Andina
31 Fundación Universitaria Área Andina
32 Fundación Universitaria Área Andina
VI. DISCUSIÓN
Se identificó que en el sitio web la
vulnerabilidad de inyección sql puede ser
explotada por personas ajenas que se den
cuenta de esa puerta trasera abierta y que
puede ser atacada la página,
No confíe en los valores de entrada del
lado del cliente, incluso si en el lado del
cliente se realice una validación, en
general, comprobar todos los datos de
entrado en el servidor, si la aplicación usa
JDBC, usar Prepared Statement o Callable
Statement, con parámetros
Pasados por '?'
Si la aplicación utiliza ASP, usar ADO
Command Objects con una fuerte
comprobación de tipos de consultas y
parámetros.
Si la Base de Datos puede usar Stored
Procedures (Procedimientos
Almacenados), úselos.
¡NO concatenar cadenas en los query
(consultas) en los procedimientos
almacenados, o utilizar
'exec', 'exec immediate', o su funcionalidad
equivalente!
No crear consultas SQL dinámicas usando
una sencilla concatenación de cadenas.
Aplique aun lista blanca (whitelist) de
caracteres permitidos, o una lista negra
(blacklist) de
Caracteres no permitidos en la entrada
(input) del usuario.
33 Fundación Universitaria Área Andina
Aplique el privilegio mínimo posible al
usuario de la base de datos de los
privilegios usados.
En particular evitar el uso del usuario de
base de datos 'sa' o 'db-owner'. Esto no
elimina la
Inyección SQL, pero minimiza su impacto.
Conceder el mínimo acceso de base de
datos que es necesario para la aplicación
A continuación se dará una breve mención,
descripción y solución planteada de los
tres mensajes de alerta y el mensaje
informativo que se hacen presentes en el
encabezado del reporte de resultados
obtenidos después de ejecutar el escaneo
de vulnerabilidades mediante la aplicación
ZAP.
Alto (High): Inyección SQL puede ser
posible con esto se llega determinar que se
puede quebrantar los controles de acceso
al código SQL e insertar código malicioso
que altere el comportamiento de la
plataforma o la inhabilite, medidas para
mitigar las posibles apariciones de este
ataque son la parametrización y definición
de variables que sean usadas como
consulta evitando usar cadenas de código
como MySQL_Connect o query que son
vulnerables.
Medio (Medium): META X-Frame-
Options (XFO), definiendo XFO mediante
una etiqueta TAG es explícitamente no
compatible con la especificación (RFC
7034) y el encabezado X-Frame_options
no está incluido en la respuesta HTTP para
proteger ante ataques 'ClickJacking'. Ya
que la cabecera XFO es la encargada de
permitir o negar la ejecución de Frames en
la estructura de páginas Web que dan paso
a ataques de ClickJacking por los cuales se
da la filtración de datos personales del
usuario, una de las mejores formas de
mitigar errores con las etiquetas es no
crear metadatos duplicados con el
contenido raíz y declararlas
específicamente en función de su
ejecución.
Bajo(Low): No se encuentra encabezado
X-Content-Type-Options Header, Absence
of Anti-CSRF Tokens y Inclusión de
archivos de origen JavaScript Cross-
Domain que son vulnerabilidades
responsables de producir los ataques por
falsificación de petición a sitios cruzados
que produce un enlace de sitios seguros a
sitios de terceros con inyección de código
malicioso que aprovechan la autenticidad
del usuario registrado para ejecutar la
acción con sus credenciales, la forma más
eficaz de reducir estos ataques es
implementar un sistema de Token con el
cual se valida la petición realizada por el
usuario. Server Leaks Information vía "X-
Powered-By" HTTP Response Header
Field(s) es una vulnerabilidad que hace
uso de la cabecera de respuesta X-
Powered-By para fugar información en
sitios HTTP con lo que se le facilita a un
atacante conocer los componentes del
entorno de trabajo del sitio Web y sus
vulnerabilidades, la solución para esta
vulnerabilidad es restringir las acciones de
la cabecera X-Powered-By. Cookie No
HttpOnly Flag esta vulnerabilidad afecta
las cookies de las que hace uso una página
Web con lo que ya no son exclusivas de
HTTP y ahora pueden ser accedidos
mediante Java, la solución para esta
vulnerabilidad es predeterminar las
cookies para ser usadas por HTTP. Cookie
Without SameSite Attribute al igual que el
34 Fundación Universitaria Área Andina
ataque de falsificación de petición a sitios
cruzados por lo que una página de terceros
puede obtener el acceso a cookies de la
página a la que desean atacar, la solución
sería darles el estado de estricto a las
cookies.
Informativa (Informational): Timestamp
Disclosure - Unix la vulnerabilidad
presente es que los cambios realizados en
la base de datos se guardan como una
marca de tiempo por lo que si el atacante
accede a las marcas de tiempo previas
podrá ver modificaciones a la seguridad,
por lo que la solución sería hacer la marca
de tiempo no confidencial y no se pueden
agregar datos para revelar
vulnerabilidades. Information Disclosure -
Suspicious Comments en este apartado la
página web le proporciona al atacante
indicios de probables vulnerabilidades que
podría explotar, deshabilitar la aparición
de comentarios que contengan algún dato
sensible.
VII. CONCLUSIONES
Las vulnerabilidades son una de las
maneras las significativas de obtener la
información.
Es importante dedicarle tiempo a conocer
las vulnerabilidades y a conocer también
los mecanismos para corregirlas
Teniendo en cuenta los resultados
obtenidos realizando el análisis mediante
el software ZAP podemos concluir que en
proceso de desarrollo a la página Web
encontramos muchas vulnerabilidades lo
cual no se encuentra cumplimiento con los
protocolos de seguridad que establecen las
normas.
La seguridad de software es algo muy conocimiento formal de seguridad,
importante y que día a día aumenta el simplemente se ingresa una URL y se da
impacto de los riesgos que se generan a clic en el botón atacar.
partir de las vulnerabilidades. Es por esto
por lo que el uso de herramientas como La herramienta ZAP hace una simulación
ZAP se vuelve fundamental, ya que no de ataque, pero a fin de cuentas es un
solo son útiles para poder detectar estas ataque. Entonces, puede generar daños en
vulnerabilidades, sino que fue desarrollado los datos o su funcionalidad. Por esto se
por una comunidad de expertos en el área, debe hacer en un ambiente de pruebas, o si
lo cual incrementa la confianza que se
No se debe configurar en “Safe mode”.
puede tener en ella. OWASP es
(Modo seguro)
probablemente el grupo más importante y
referencia en lo que se refiere a temas de realizar este tipo de ejercicios son
seguridad en páginas web. sumamente útiles para entender el
mindset(mentalidad) que debe tener un
Una auditoría web en la que se evalúan los
tester de seguridad, por más que el trabajo
controles del TOP 10 de OWASP es la
diario de uno no sea enfocado
recomendable cuando se estudia la
específicamente en esta área, creo que
seguridad de una aplicación web por
aporta muchísimo la visión de un
primera vez o cuando la seguridad de este
Ingeniero.
entorno no es crítica para la empresa.
Ofrece un buen equilibrio en cuanto a Con la información suministrada por el
esfuerzo, costes y resultados. informe de la aplicación ZAP se ha
demostrado que las aplicaciones Web son
Se realizó un ejercicio haciendo uso de la
susceptibles a sufrir ataques por
herramienta ZAP (en el modo ataque por
vulnerabilidades que pueden pasar por alto
defecto), en el cual se ingresa una URL y
como pueden ser cadenas de código
la aplicación inicialmente adquiere la lista
obsoletas, opciones predeterminadas
de posibles request que puede realizar
quedan activadas u opciones avanzadas de
(realizando un crawling automático a partir
seguridad se encuentran desactivadas por
de la URL provista) para luego tratar
lo que en conjunto diseñadores y
generar ataques sobre las mismas que
programadores Web se recomendaría que
confirmen vulnerabilidades, como también
brinden opiniones basados en experiencias
verificar configuraciones correctas de los
y lo demandado por el mercado actual.
headers http según el contenido de los
mismos y de su cuerpo.

Esta herramienta detecta el problema, y

además sugiere soluciones al mismo en las
diferentes etapas del ciclo de vida de la
aplicación web, ya sea durante el diseño,
desarrollo, arquitectura, etc.

Importante también el hecho de que la

herramienta puede ser utilizada sin ningún

35 Fundación Universitaria Área Andina

 VIII. BIBLIOGRAFÍA

Catoira, F. (01 de 03 de 2013). Top 10 de vulnerabilidades de OWASP para el 2013.

ObtenidodeWelivesecurity.combyESET:

https://www.welivesecurity.com/la-es/2013/03/01/top-10-de-vulnerabilidades-de-owasp-
para-el-2013/

DiazSecurity. (04 de 2017). Introducción y ejemplos de OWASP Zap -

DiazSecurity.com[Archivo de video]. Recuperado el 28 de 05 de 2020, de
https://youtu.be/I951MaqAkB4

OWASP. (2020). OWASP Top Ten. Obtenido de OWASP: https://owasp.org/www-project-

top-ten/

Universidad Miguel Hernández de Elche. (08 de 01 de 2015). Cómo escribir un artículo

científico. Recuperado el 05 de 2020, de https://youtu.be/-D9WtGVi4cM

Wichers, D. (2013). Owasp top-10 2013. OWASP Foundation, February.

Wichers, D., & Williams, J. (2017). Owasp top-10 2017. OWASP Foundation.

Soto,M.A.L, Burgueño, A.M.D., Ramirez, M.I.T., & Garzón, J.P.F. (2018).

PROTECCIÓN ANTE ATAQUES DE INYECCIÓN SQL EN APLICACIONES WEB.
Revista Digital de Tecnologías Informáticas y Sistemas, 2(1).

36 Fundación Universitaria Área Andina