Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Evaluacion (08072019)
Evaluacion (08072019)
Seguridad en la RED
Instituto IACC
08 de julio de 2019
CASO PRACTICOS
PREGUNTAS:
o Entre las mejoras específicas, tenemos las siguientes; cerrar los puertos, protocolos,
usuarios no utilizados y modificar aquellos parámetros por defectos conocidos por los
atacantes.
o Por último, incorporar como parte de los procesos de trabajo de TIC, el ciclo de gestión
de vulnerabilidades.
IV. Reporte completo de vulnerabilidades.
RESPUESTA: Se adjunta archivo “Reporte Acunetix.pdf”
o El sitio analizado, principalmente presenta vulnerabilidades del tipo SQL injection, lo cual
permite el acceso a información confidencial, acceso a las redes, baja nivel de cuentas de
autentificación, el ingreso de líneas de comandos de SQL, permitiendo la inserción de
cuantas y la falsificación de accesos de red. También habilita la posibilidad de la descargar
de información confidencial y fuga de información, junto con la suplantación de identidad
de los usuarios administrador con privilegios superiores.
o Incorporar entre las mejores prácticas, los test de penetración o ethical hacker.
Principalmente orientado a penetrar las vulnerabilidades más críticas detectadas.
o Por último, incorporar al ciclo de desarrollo del software, seguridad del tipo SDLC,
orientada a minimizar los impactos de vulnerabilidades generadas por errores de
programación.
1) Explicación del tipo de ataque perpetrado
RESPUESTA: Secuestro de sesión, debido a la falta de control en las aplicaciones de
transferencia, permitió a los atacantes realizar modificaciones a los caragos fijos que
permitía el proceso. La existencia en el exterior de un corresponsal (persona), ayudo a que
los procesos fueran modificados sin los controles adecuados. La ausencia de token y
controles de renovaciones de claves, impidieron que el banco supiera con la celeridad
adecuada del robo.