Asignatura Datos del alumno Fecha

Apellidos: Urrutia López

Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Actividades

Laboratorio: Auditar un SGBD y realizar un análisis de

remediación de vulnerabilidades

Objetivos:

Auditar un SGBD por medio de una de las herramientas líderes en el mercado de

auditoría de BD y analizar el resultado para presentar una estrategia de solución que sea
viable para ser considerada e implementada por los responsables de administración de
los ambientes productivos, como un administrador de BD o un responsable del
departamento de soporte técnico.

Descripción:

La auditoría técnica de seguridad se realizará por medio de la herramienta SCUBA y se

ejecutará sobre una instancia MYSQL de BD del proyecto WAVSEP la cual es una
aplicación web vulnerable diseñada para ayudar a evaluar las características, la calidad y
la precisión de los escáneres de vulnerabilidades de aplicaciones web y BD, para de este
modo no poner en riesgo alguna instancia productiva real.

Requisitos para el ambiente a ser auditado «Instancia de BD WAVSEP»

Se deberán descargar cada una de las herramientas de los links que se describen a
continuación.

Descarga e instalación de Java 8.X: https://www.java.com/es/download/

Descarga e instalación de Tomcat 7.X: https://tomcat.apache.org/download-70.cgi
Descarga e instalación MySQL 5.5.X:
https://downloads.mysql.com/archives/community/

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Descarga coloca el archivo de WAVSEP.war 1.5 en la carpeta de X:\Program Files

(x86)\Apache Software Foundation\Tomcat X.0\webapps y reinicia el servidor de
Apache:
https://sourceforge.net/projects/wavsep/files/WAVSEP-
v1.5/wavsep.war/download
Ejecuta el script de instalación de WAVSEP: http://localhost:8080/wavsep/wavsep-
install/install.jsp
Accede al aplicativo WAVSEP: http://localhost:8080/wavsep/

Requisitos para instalar Scuba de Imperva para revisar «Instancia de BD

WAVSEP»

Descarga e instalación de SCUBA de IMPERVA:

https://www.imperva.com/resources/freeevaluationtools
Ejecuta un Análisis de vulnerabilidades con la herramienta SCUBA garantizando que
Scuba tiene el conector JDBC y se le establecen los parámetros correctos de la
instancia IP, puerto usuario y contraseña.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

DESARROLLO
A continuación se describe el paso a paso de la realización de la actividad, describiendo
desde la instalación de herramientas, hasta resultados del análisis obtenido por las
herramientas utilizadas.
INSTALACIÓN DE HERRAMIENTAS

INSTALACIÓN DE JAVA 8
Se inicia el proceso de instalación de cada una de las herramientas necesarias así como
complementos.

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

INSTALACIÓN DE TOMCAT 7.0

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

Ejecución de Scuba
Ya con la puesta del laboratorio, ejecutamos Scuba, se capturan los datos solicitados por
la aplicación. Para poder realizar el análisis de la base de datos WAVSEP. Para identificar
las vulnerabilidades que indique Scuba.

Hecho
por:
Gustavo

Hecho
por:
TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)
Gustavo
 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Resultado de Scuba
A través del resultado de Scuba, se pudieron obtener 7 alertas que 2 son altas y 5 son
medias, dentro de ésta herramienta se integra una base de datos con la que es posible
realizar pruebas.
Se ejecutaron un total de 511 pruebas donde el 96% pasaron sin gravedad, el 1% no pasó
y 3% son de notificación así como tambien se muestra los links de las vulnerabilidades
encontradas para poder realizar o ejecutar la corrección de las mismas.
Guía de Seguridad de un SGBD MYSQL
Scuba de forma general en base a las 511 pruebas que logró realizar pero en este caso se
tendrá que validar puntos faltantes y el experto en seguridad en este caso será el
encargado de dicha tarea.
Remediación de las vulnerabilidades detectadas por Scuba
Como primer punto se remediaran las 2 primeras vulnerabilidades detectadas.

Hecho
por:
Gustavo
Cuenta Root de MYSQL
Vulnerabilidad:
Existing root account:

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Esta parte es una mala práctica ya que no se debe tener en cuenta para la administración
de las bases de datos, ya que en caso de existir una vulnerabilidad propia de MYSQL
podría comprometer de manera completa el equipo.

Remediación:
Se quitará de la base de datos WAVSEP, el usuario root y se agregara otra cuenta distinta
sin privilegios de root.

Como primera parte, se ingresará a la consola esto con la finalidad de ingresar a las
propiedades de la base de datos y poder cambiar las configuraciones así de ésta forma
remediar las vulnerabilidades.
En el apartado de User and Privileges se agregará a otro usuario, a este usuario se le
asignarán todos los permisos de DBA y se eliminará root para corregir el primer punto
descrito como amenaza grave.

Hecho
por:
Gustavo

Se ejecuta la herramienta Scuba, esto con la finalidad de poder validar que la información
que se pretende que tiene que ser corregida, fue corregida.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

Seguridad en Autenticación
Vulnerabilidad:
Secure_auth Option Set to OFF

Como alerta importante se detectó que MySQL tiene activa la autenticación de

contraseñas anteriores a la versión 4.1, lo que altamente es comprometida la base de
datos.

Remediación:
A través de la consola de MySQL Workbench en el apartado “Option File”, a través de la
pestaña Seguridad donde a través del CheckBox, para poder desactivar esta alerta como
es mostrado a continuación:

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Se vuelve a correr Scuba, para validar que el problema ha sido corregido

Hecho
por:
Gustavo

Atención a alerta de medio riesgo

Seguridad en Autenticación
Users not Forced to Use SSL:

La presente alerta es accionada en el caso de que las bases de datos se van a administrar
fuera de la red corporativa, al no ser cifrado el canal o la información son comprometidos
los datos.

have_openssl Option Set to DISABLED:

Similar a la anterior y dependerá del uso y configuración de las BD ya que en caso de no

ser necesario o requerido se tendrá que optar por desactivar OpenSSL o si se requiere al
salir de la red se tendrá que activar.

Remediación:

Para este tipo de alertas para la resolución, lo que se hará es la instalación de OPENSSL
y la activación del uso de este protocolo para su administración en MySQL garantizando
la confidencialidad de los datos, con el cifrado del canal.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

A través de Server Tolls/Manager Server conection

Hecho
por:
Gustavo

En Options File se configuran los certificados para poder ingresar por SSL

Hecho
por:
Gustavo

Se realizan pruebas para validar conexión y que se encuentra todo bien configurado.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Hecho
por:
Gustavo

Para obligar al usuario que realmente use SSL para conectarse hay una línea de
comandos en la consola para que sea posible el poder ver cambios en Scuba.

Hecho
por:
Gustavo

Existing 'test' Database:

Esta alerta de genera por que se tienen la Base de Datos que no tendrian que estar y al
ser de pruebas o Test pueden genear un riesgo para los sistemas productivos por lo que
se tiene que eliminar la BD Test.

El concepto por el cual se genera la siguiente alerta es porque se tienen bases de datos
que no deberían de estar.

Remediación:

Se generan borrando las bases de datos Test.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

local_infile Option Set to ON:

La siguiente alerta se detona debido a una variable que se instala en ON y esto por ende
y consecuencia pone en riesgo al servidor para un ataque SQL Injection para una
explotación de carga de documentos.
Remediación:
en la opción de “Server\Status Sistem and Variable” buscamos Hecho
por:
“local_infile” para cambiar la opción a “OFF”, Gustavo

have_symlink Option Set to YES:

Se impide que se usen enlaces sym para archivos de base de datos, esto en el caso de
MySQL cuando se ejecuta en root, ya que los archivos pueden sobreescribirse.

Remediación:

De igual manera que la alerta anterior se podría cambiar el estatus en las variables para
pasar de “Yes” a Disable.

Hecho
por:
Gustavo

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Por último se adjunta, la siguiente pantalla, donde se muestran las correcciones que
realizó Scuba, dónde solo quedan los archivos que no puede resolver en Windows o para
Windows y los archivos con el escaneo.

Hecho
por:
Gustavo

CONCLUSIÓN:
Con la realización de la presente práctica se pudo determinar lo grave que puede llegar a
ser el tener mal configurado el servidor referente a las bases de datos, ya que de ésta
forma toda la información que ahí se almacena queda vulnerable.

Existen herramientas eficientes que nos ayudan a mitigar la explotación de posibles

fallos de seguridad, como en este caso Scuba que es una herramienta de gran utilidad la
cual permite el escaneo de vulnerabilidades.

Scuba resulta ser una gran herramienta de gran utilidad y eso que se usó la versión de
prueba que contiene 511 pruebas, se recomienda ampliamente adquirir la versión
completa ya que al contar con ella, el numero de fallos será mínimo.

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Urrutia López
Seguridad en Bases
de Datos y
19 de Junio 2022
Almacenamiento de
Nombre: Gustavo Adolfo
Datos Masivos

Referencias:
'root'@'localhost', m., Flores, M., & Duarte, G. (2019). mysql
how to fix Access denied for user 'root'@'localhost'. Retrieved 3 December 2019,
from https://superuser.com/questions/603026/mysql-how-to-fix-access-deniedfor-
user-rootlocalhost

Descarga e instalación de Java 8.X: https://www.java.com/es/download/

Descarga e instalación de Tomcat 7.X: https://tomcat.apache.org/download-
70.cgi
Descarga e instalación MySQL 5.5.X:
https://downloads.mysql.com/archives/community/
Descarga coloca el archivo de WAVSEP.war 1.5 en la carpeta de X:\Program Files
(x86)\Apache Software Foundation\Tomcat X.0\webapps y reinicia el servidor de
Apache:
https://sourceforge.net/projects/wavsep/files/WAVSEP-
v1.5/wavsep.war/download
Ejecuta el script de instalación de WAVSEP:
http://localhost:8080/wavsep/wavsep-install/install.jsp
Accede al aplicativo WAVSEP: http://localhost:8080/wavsep/

Instrucciones detalladas WESEP

https://github.com/sectooladdict/wavsep/wiki/WAVSEP-Installation-and-
Deployment

TEMA 2 – Actividades © Universidad Internacional de La Rioja. (UNIR)