Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tarea Virtual 4
0
Tema:
Modelado de amenazas.
Objetivo
Realizar un modelado de amenazas para una aplicación WEB.
https://www.microsoft.com/en-us/download/details.aspx?id=49168
https://www.youtube.com/watch?v=HrtKUQF26u0
1
Nº- Reporte de Vulnerabilidades
ID: 34
DIAGRAMA: Diagrama 1
AMENAZA: Elevación al cambiar el flujo de ejecución en la aplicación web
CATEGORÍA: Elevación de privilegios
BREVE DESCRIPCIÓN:
Un sujeto de usuario obtiene una mayor capacidad o privilegio al aprovechar un
1 error de implementación.
DESCRIPCIÓN:
Un atacante puede pasar datos a la aplicación web para cambiar el flujo de ejecución
del programa dentro de la aplicación web a elección del atacante.
INTERACCIÓN: HTTPS
PRIORIDAD: Alta
ID: 27
DIAGRAMA: Diagrama 1
AMENAZA: falsificar la entidad externa del NAVEGADOR
CATEGORÍA: Suplantación de identidad / Spoofing
BREVE DESCRIPCIÓN:
La suplantación de identidad es cuando un proceso o entidad es algo diferente a su
2 identidad reclamada. Los ejemplos incluyen la sustitución de un proceso, un archivo,
un sitio web o una dirección de red.
DESCRIPCIÓN:
Un atacante puede falsificar el NAVEGADOR y esto puede dar lugar a un acceso no
autorizado a la aplicación web. Considere usar un mecanismo de autenticación
estándar para identificar la entidad externa.
INTERACCIÓN: HTTPS
PRIORIDAD: Alta
ID: 36
DIAGRAMA: Diagrama 1
AMENAZA: Vulnerabilidad potencial de inyección SQL para base de datos SQL
CATEGORÍA: Manipulación
BREVE DESCRIPCIÓN:
La manipulación es el acto de alterar los bits. La manipulación de un proceso implica
cambiar bits en el proceso en ejecución. De manera similar, manipular un flujo de
datos implica cambiar bits en el cable o entre dos procesos en ejecución.
3
DESCRIPCIÓN: La inyección SQL es un ataque en el que se inserta código
malicioso en cadenas que luego se pasan a una instancia de SQL Server para su
análisis y ejecución. Cualquier procedimiento que construya declaraciones SQL debe
revisarse para detectar vulnerabilidades de inyección porque SQL Server ejecutará
todas las consultas sintácticamente válidas que reciba. Incluso los datos
parametrizados pueden ser manipulados por un atacante hábil y determinado.
INTERACCIÓN: JDBC
PRIORIDAD: Alta
2
3. El estudiante debe explicar ¿cuáles son las medidas de prevención para evitar las
vulnerabilidades detectadas por la herramienta?
2. Para suplantación de identidad o Spoofing, se debe tener un bien antivirus, con la función
de software antispam, en caso de empresas que la computadora administradora no tengo
acceso al buzón de correo, desactivar un JavaScript del navegador en los momentos que
haya que exponer información importante, activar protocolos de verificación SPF,
también adoptar filtros en los Router para el control de acceso y trafico de paquetes
3
Bibliografía:
Ambit. (10 de Diciembre de 2019). Spoofing, Qué es y cómo evitarlo. Obtenido de https://www.ambit-
bst.com/blog/spoofing-que-es-y-cómo-evitarlo
Gb-advisors. (21 de Octubre de 2020). 6 formas de prevenir ataques de inyección SQL con Acunetix.
Obtenido de https://www.gb-advisors.com/es/6-formas-de-prevenir-ataques-de-inyeccion-sql-
con-acunetix/
Tarlogic Cybersecurity Experts. (29 de Mayo de 2017). Protección frente a elevación de privilegios en
red. Obtenido de https://www.tarlogic.com/es/blog/proteccion-elevacion-privilegios/