Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Modelado de amenazas para una aplicación WEB

    Cargado por

    Juanex Deequisde
    180 vistas5 páginas
    Este documento describe el modelado de amenazas para una aplicación web realizado con la herramienta Threat Modeling Tool 2016. Se identificaron 3 vulnerabilidades clave: 1) elevación de privilegios mediante cambios en el flujo de ejecución, 2) suplantación de identidad falsificando el navegador, y 3) inyección SQL en la base de datos. Para prevenir estas amenazas se recomienda implementar medidas como monitoreo de hostids, cuentas de administración separadas, autenticación estándar, antivirus actualizado, y uso

    Descripción original:

    Título original

    6666666666666666666666666666

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe el modelado de amenazas para una aplicación web realizado con la herramienta Threat Modeling Tool 2016. Se identificaron 3 vulnerabilidades clave: 1) elevación de privilegios mediante cambios en el flujo de ejecución, 2) suplantación de identidad falsificando el navegador, y 3) inyección SQL en la base de datos. Para prevenir estas amenazas se recomienda implementar medidas como monitoreo de hostids, cuentas de administración separadas, autenticación estándar, antivirus actualizado, y uso

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    180 vistas5 páginas

    Modelado de amenazas para una aplicación WEB

    Cargado por

    Juanex Deequisde
    Este documento describe el modelado de amenazas para una aplicación web realizado con la herramienta Threat Modeling Tool 2016. Se identificaron 3 vulnerabilidades clave: 1) elevación de privilegios mediante cambios en el flujo de ejecución, 2) suplantación de identidad falsificando el navegador, y 3) inyección SQL en la base de datos. Para prevenir estas amenazas se recomienda implementar medidas como monitoreo de hostids, cuentas de administración separadas, autenticación estándar, antivirus actualizado, y uso

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    SEGURIDAD DE CAPA DE APLICACIÓN

    Tarea Virtual 4

    Alvarado Arce Juan Sebastian

    Mujica Toaza Mario Joel

    0
    Tema:
    Modelado de amenazas.

    Objetivo
    Realizar un modelado de amenazas para una aplicación WEB.

    Actividades para el logro del objetivo


    En el siguiente enlace se puede descargar el programa Threat Modeling Tool 2016.

    https://www.microsoft.com/en-us/download/details.aspx?id=49168
    https://www.youtube.com/watch?v=HrtKUQF26u0

    1. La imagen 1 se debe diseñar en el programa recomendado.


    Drive con el programa y la foto correspondiente:
    https://drive.google.com/drive/folders/1Xs4NsYPgaGVCekRZBQLeFOJg2ekeWmt1?usp=sh
    aring

    2. Se debe obtener el reporte de vulnerabilidades. (Solo elija 3 vulnerabilidades)


    El programa nos dio como resultado 45 posibles vulnerabilidades.

    1
    Nº- Reporte de Vulnerabilidades
    ID: 34
    DIAGRAMA: Diagrama 1
    AMENAZA: Elevación al cambiar el flujo de ejecución en la aplicación web
    CATEGORÍA: Elevación de privilegios
    BREVE DESCRIPCIÓN:
    Un sujeto de usuario obtiene una mayor capacidad o privilegio al aprovechar un
    1 error de implementación.
    DESCRIPCIÓN:
    Un atacante puede pasar datos a la aplicación web para cambiar el flujo de ejecución
    del programa dentro de la aplicación web a elección del atacante.
    INTERACCIÓN: HTTPS
    PRIORIDAD: Alta
    ID: 27
    DIAGRAMA: Diagrama 1
    AMENAZA: falsificar la entidad externa del NAVEGADOR
    CATEGORÍA: Suplantación de identidad / Spoofing
    BREVE DESCRIPCIÓN:
    La suplantación de identidad es cuando un proceso o entidad es algo diferente a su
    2 identidad reclamada. Los ejemplos incluyen la sustitución de un proceso, un archivo,
    un sitio web o una dirección de red.
    DESCRIPCIÓN:
    Un atacante puede falsificar el NAVEGADOR y esto puede dar lugar a un acceso no
    autorizado a la aplicación web. Considere usar un mecanismo de autenticación
    estándar para identificar la entidad externa.
    INTERACCIÓN: HTTPS
    PRIORIDAD: Alta
    ID: 36
    DIAGRAMA: Diagrama 1
    AMENAZA: Vulnerabilidad potencial de inyección SQL para base de datos SQL
    CATEGORÍA: Manipulación
    BREVE DESCRIPCIÓN:
    La manipulación es el acto de alterar los bits. La manipulación de un proceso implica
    cambiar bits en el proceso en ejecución. De manera similar, manipular un flujo de
    datos implica cambiar bits en el cable o entre dos procesos en ejecución.
    3
    DESCRIPCIÓN: La inyección SQL es un ataque en el que se inserta código
    malicioso en cadenas que luego se pasan a una instancia de SQL Server para su
    análisis y ejecución. Cualquier procedimiento que construya declaraciones SQL debe
    revisarse para detectar vulnerabilidades de inyección porque SQL Server ejecutará
    todas las consultas sintácticamente válidas que reciba. Incluso los datos
    parametrizados pueden ser manipulados por un atacante hábil y determinado.
    INTERACCIÓN: JDBC
    PRIORIDAD: Alta

    2
    3. El estudiante debe explicar ¿cuáles son las medidas de prevención para evitar las
    vulnerabilidades detectadas por la herramienta?

    1. Para un ataque de elevación de privilegios usar herramientas de monitoreo de hostids,


    para poder detectar patrones de escala de privilegios y exploración hacia otros sitios, otra
    medida es que no debe existir un único administrador, que las cuentas de admi no deben
    loguearse todas en una sola PC, implementar las conocidas máquinas de salto las cuales
    están aisladas para las labores de administración y que las cuentas de admi no deben
    tener acceso al buzon de mail y/o permisos de navegación.

    2. Para suplantación de identidad o Spoofing, se debe tener un bien antivirus, con la función
    de software antispam, en caso de empresas que la computadora administradora no tengo
    acceso al buzón de correo, desactivar un JavaScript del navegador en los momentos que
    haya que exponer información importante, activar protocolos de verificación SPF,
    también adoptar filtros en los Router para el control de acceso y trafico de paquetes

    3. Para un ataque de inyección de SQL, implementar la cancelación de todas las contraseñas


    que se vieron comprometidas en el ataque o más bien todas, notifican a todos los
    usuarios que cambien sus contraseñas, luego del ataque las medidas de monitoreo y
    seguridad deberían ser más estrictas, tales pueden ser usar listas blancas en las entradas
    de usuarios, porque un atacante hábil conocería como eludir se detectado por el uso de
    listas negras, también tomar cada entrada de usuarios como si ninguno fuese de confianza
    incluso si son usuarios autentificados y por ultimo el uso de software con versión
    recientes como por ejemplo usar PDO en lugar de MySQLi en su idioma PHP.

    3
    Bibliografía:
    Ambit. (10 de Diciembre de 2019). Spoofing, Qué es y cómo evitarlo. Obtenido de https://www.ambit-
    bst.com/blog/spoofing-que-es-y-cómo-evitarlo

    Gb-advisors. (21 de Octubre de 2020). 6 formas de prevenir ataques de inyección SQL con Acunetix.
    Obtenido de https://www.gb-advisors.com/es/6-formas-de-prevenir-ataques-de-inyeccion-sql-
    con-acunetix/

    Tarlogic Cybersecurity Experts. (29 de Mayo de 2017). Protección frente a elevación de privilegios en
    red. Obtenido de https://www.tarlogic.com/es/blog/proteccion-elevacion-privilegios/

    Microsoft. (2020). Análisis de modelo de amenazas.Obtenido de:


    https://docs.microsoft.com/es-es/biztalk/core/threat-model-analysis

    También podría gustarte