Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 9 Informe de Auditoria Web Externa

    Cargado por

    Franklin Manuel Gonzales Castro
    12 vistas5 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    12 vistas5 páginas

    9 Informe de Auditoria Web Externa

    Cargado por

    Franklin Manuel Gonzales Castro

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    Empresa: PROCEDIMIENTO

    PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE


    SEGURIDAD DE LA INFORMACIÓN
    INFORME DE AUDITORÍA WEB (EXTERNA)
    Versión Pág.
    Aprobado por: Revisado por: Elaborado por:

    NOMBRE DE LA INSTITUCIÓN

    INFORME DE AUDITORIA WEB N.º XX

    Fecha:

    1. OBJETIVO

    Hacking Ético: Mejorar la seguridad del sistema para prevenir posibles ataques cibernéticos,
    permitiendo evaluar el cumplimiento de los requisitos de la Norma ISO/IEC 27001:XXX,
    verificando el cumplimiento de las disposiciones planificadas y comprobando que se
    mantienen de manera eficaz los controles.

    Pentesting: Determinar la efectividad de las medidas de seguridad existentes en el sistema y


    proponer mejoras para fortalecerlas, permitiendo evaluar el cumplimiento de los requisitos de
    la Norma ISO/IEC 27001:XXX, verificando el cumplimiento de las disposiciones planificadas y
    comprobando que se mantienen de manera eficaz los controles.

    2. ALCANCE

    Identificar las vulnerabilidades del sistema (WEB) mediante técnicas de Hacking Ético.

    3. REFERENCIAS

    4. METODOLOGÍA

    La Metodología empleada para desarrollar la presente Auditoria, se basa en el análisis de


    vulnerabilidades, mediante el Hacking Ético, para la identificación de estas o debilidades del
    sistema, que serán presentadas en el presente informe con las recomendaciones y
    conclusiones respectivas.

    5. CRITERIOS DE LA AUDITORIA
    Identificar vulnerabilidades y debilidades, y evaluar el nivel de riesgo asociado a cada una de
    ellas, siendo importante la confidencialidad de la auditoría de hacking ético, que se llevara a

    1
    Empresa: PROCEDIMIENTO
    PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
    SEGURIDAD DE LA INFORMACIÓN
    INFORME DE AUDITORÍA WEB (EXTERNA)
    Versión Pág.
    Aprobado por: Revisado por: Elaborado por:

    cabo de forma confidencial, para evitar que la información obtenida pueda ser utilizada para
    fines malintencionados. El acceso a la información obtenida debe ser limitado y controlado,
    siendo importante la legalidad, objetividad de la presente auditoria.

    6. EQUIPO AUDITOR Y RESPONSABILIDADES

    El presente informe ha sido elaborado por

    CARGO RESPONSABILIDAD

    Analista de - Monitoreo y análisis de las amenazas de seguridad de la información y


    seguridad desarrollo de estrategias de protección.

    7. ANÁLISIS DE HALLAZGOS

    2.8 DESPLIEGUE INSEGURO, APLICACIÓN SIN PARCHAR

    La versión desactualizada contiene una vulnerabilidad de denegación de


    servicio.

    Característica del servidor


    IP: xxx.xxx.xx.xx
    SO: Oracle Linux Fedora
    Motor: Oracle web cache 11G

    - Hallazgo: Versión desactualizada


    - Posibilita Vulnerabilidad: Ataque de forma remota con peticiones repetitivas
    que posibilitara el aumento de consumo de recursos de CPU y memoria.
    - Punto afectado: inicio de sesión www.xxx.gob.pe/login
    - Vulnerabilidad: CVE 2011-3192
    - Recomendaciones: Actualizar la versión de Apache
    - Estado: CRITICO
    - Evidencia: Imagen

    2.9 INFORMACIÓN SENSIBLE ENVIADO EN TEXTO PLANO

    La información no encriptada expone a ataques por medio de técnicas de


    SNIFFING o de MAN THE MIDDLE, pudiendo tener acceso a información
    sensible como identificación de usuarios y claves.

    2
    Empresa: PROCEDIMIENTO
    PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
    SEGURIDAD DE LA INFORMACIÓN
    INFORME DE AUDITORÍA WEB (EXTERNA)
    Versión Pág.
    Aprobado por: Revisado por: Elaborado por:

    Característica del servidor


    IP: xxx.xxx.xx.xx
    SO: Oracle Linux Fedora
    Motor: Oracle web cache 11G

    - Hallazgo: Información sensible enviado en texto plano


    - Posibilita Vulnerabilidad: Acceso a información sensible de usuario y
    contraseña.
    - Punto afectado: inicio de sesión www.xxx.gob.pe/login
    - Vulnerabilidad: CWE-319 / CAPEC-117
    - Recomendaciones: Las aplicaciones deben ser encriptadas en la capa de
    transporte (SSL/TLS), para proteger la información sensible.
    - Estado: ALTO
    - Evidencia: Imagen

    2.10 EXCESO DE INFORMACION EN EL CODIGO DEVUELTO

    El código devuelto presenta información que puede servir de guía al atacante,


    para que conozca la lógica de la aplicación y optimice su ataque.

    - Hallazgo: Información sensible enviado en texto plano


    - Posibilita Vulnerabilidad: Donde se requiera conocimiento de lógica de la
    aplicación.
    - Punto afectado: inicio de sesión www.xxx.gob.pe/login
    - Vulnerabilidad:
    CWE-18
    CWE-200
    CWE-388
    CWE-540
    CWE-541
    CWE-615
    CAPEC-37
    - Recomendaciones: Limpiar el código, mediante técnicas de hardening o
    bastionado.
    - Estado: ALTO
    - Evidencia: Imagen

    2.11 OBSOLESCENCIA DE VERSIÓN SEL SERVIDOR

    3
    Empresa: PROCEDIMIENTO
    PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
    SEGURIDAD DE LA INFORMACIÓN
    INFORME DE AUDITORÍA WEB (EXTERNA)
    Versión Pág.
    Aprobado por: Revisado por: Elaborado por:

    Debido a la versión de las aplicaciones utilizadas en el servidor se presenta


    múltiples vulnerabilidades las que posibilita tomar posesión del servidor, así
    como ejecutar comandos.

    - Vulnerabilidad:
    CWE-2018-2628: Permite comprometer al servidor al atacante remoto no
    autenticado.
    CWE-2016-3586: Permite a los atacantes el acceso remoto al servidor
    CWE-2016-3551: Permite a los atacantes comprometer el servidor, explotando
    web services
    CWE-2008-3257: Permite comprometer al servidor, mediante el uso del método
    POST.
    CWE-2007-6750: Ataque por DoS tipo SLOWRIS
    - Recomendaciones: Actualizar la versión del Sistema Operativo y del motor
    WEB, aplicando parches de seguridad.
    - Estado: ALTO
    - Evidencia: Imagen

    2.12 Aplicación Web Insegura

    Multiple cross-site scripting (XSS), cuando la opción MultiViews está habilitada,


    permite a atacantes remotos inyectar secuencias de comandos web arbitrarias o
    HTML a través de un nombre de archivo manipulado que no se maneja
    correctamente durante la construcción de una lista de variantes.

    I DIRECCIÓ DESCRIPCIÓ S.O. PUERT VULNERABILIDA NIVEL RECOMENDACIÓ


    D N IP N O D DE N
    ABIERT RIESG
    O TCP O

    0 xxx.xx.x.x www… Linu 80 CVE-2012-2687 Alto Actualizar Linux y


    1 x Oracle Database
    3.8. Server
    8

    13. CONCLUSIONES

    4
    Empresa: PROCEDIMIENTO
    PROCEDIMIENTO DE AUDITORÍA INTERNAS Y EXTERNAS DE
    SEGURIDAD DE LA INFORMACIÓN
    INFORME DE AUDITORÍA WEB (EXTERNA)
    Versión Pág.
    Aprobado por: Revisado por: Elaborado por:

    En la auditoria web externa, se encontró múltiples hallazgos detallándose en cada


    hallazgo las recomendaciones del caso, concluyéndose que se adopten las medidas
    correctivas de seguridad de la información de acuerdo a las políticas de seguridad de
    la organización

    14. FIRMAS

    También podría gustarte