Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1 4
2 Gestión insegura de
Inyección de SQL sesiones
Manejo inseguro de
contraseñas Las sesiones son un componene básico
Sucede cuando los datos proporcionados en la ejecución y funcionamiento de
por los usuarios no se regulan Al no definir un estricto manejo la aplicación, se asegura la
correctamente y permiten la ejecución de las contraseñas, roles y utilización de sesión segura
de consultas SQL no deseadas lo que parametros de accesos tanto a almacenada en ubicación segura y
permite que los atacantes puedan la aplicación cómo a la base de configurada correctamente, se
acceder y manipular datos, tablas y datos se pueden abrir brechas cuenta con `session.cookie_secure` y
secuencias mediante consutlas. de seguridad las cuales `session.cookie_httponly`, para
permitiría el acceso noa proteger las sesiones contra ataques
utorizado a módulos e de secuestro o XSS.
información
R
1 2 3 4
Se cuenta con una La aplicación fue Se evidencia con un sistema
La aplicación actual al
encriptación MD5 la cual desarrollada por una de control de sesión al
contar con validación por
garantiza seguridad y persona. y testeada por acceso, tiempos de espera
objetos en cada input se
fiablidad en el uso de 6 análistas, al ser y reposo para evitar
garantiza la no
las contraseñas, se revisada se cuenta con vulnerabilidad por
utiliuzación de
cuenta con variables de retroalimentación pero inactividad y la base de
caracteres especiales
sesión validables en cada se sugiere la ampliación datos está alojada en una
que faciliten la inyección
formulario las cuales del personal encargado máquina virtual
de consultas no deseadas
garantizan el acceso del desarrollo para administrada por 1 persona
SQL en la aplicación
autorizado y evitar el no abarcar más seguimiento lo cual minimiza los accesos
mediante la interfáz.
autorizado. y control. no autorizados
Método de identificación de
riesgos
Uso de herramientas
Revisión de código:
de análisis dinámico las
Relaizar una revisión Pruebas de Uso de herramientas
Recursos de seguridad y cuales análizan
exahustiva del código Penetración: de análisis estático
seguimiento de informes durante el tiempo de
PHP en búsuqeda de Denominadas las cuales revisan el
de seguridad, Uso de ejecución para
vulnerabilidades y "penetration testing" código en búsqueda
recursos de seguridad identificar posibles
malas prácticas de en la cual se simulan de problemas de
confiables cómo OWASP vulnerabilidades y
seguridad. ataques reales y seguridad y malas
para tener presente las riesgos.
explotar posibles prácticas de
mejores prácticas de
puntos débiles programación
seguridad.