Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Ev de Riesgos ACA1

    Cargado por

    LoperRedYT
    5 vistas2 páginas
    La aplicación Siglos desarrollada internamente por Sistemas Colombia maneja y controla el inventario de equipos de cómputo de la compañía. Se identificaron varias vulnerabilidades como inyección SQL, manejo inseguro de contraseñas y sesiones. La aplicación implementó encriptación MD5 para contraseñas, validación de inputs y control de sesión para mitigar riesgos. Se recomienda ampliar el personal de desarrollo y pruebas para mejorar el seguimiento y control de seguridad.

    Descripción original:

    Aca 1 Riesgos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    La aplicación Siglos desarrollada internamente por Sistemas Colombia maneja y controla el inventario de equipos de cómputo de la compañía. Se identificaron varias vulnerabilidades como inyección SQL, manejo inseguro de contraseñas y sesiones. La aplicación implementó encriptación MD5 para contraseñas, validación de inputs y control de sesión para mitigar riesgos. Se recomienda ampliar el personal de desarrollo y pruebas para mejorar el seguimiento y control de seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas2 páginas

    Ev de Riesgos ACA1

    Cargado por

    LoperRedYT
    La aplicación Siglos desarrollada internamente por Sistemas Colombia maneja y controla el inventario de equipos de cómputo de la compañía. Se identificaron varias vulnerabilidades como inyección SQL, manejo inseguro de contraseñas y sesiones. La aplicación implementó encriptación MD5 para contraseñas, validación de inputs y control de sesión para mitigar riesgos. Se recomienda ampliar el personal de desarrollo y pruebas para mejorar el seguimiento y control de seguridad.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    Ficha: 52260

    Juan David Yepes Trujillo


    Harol Torres Ospina
    SISTEMA DE
    Jhojan David Palencia T. INFORMACIÓN: 3
    Descripción inicial de la SIGLOS Falta de seguimiento y
    Aplicación validación
    IDENTIFICACIÓN DE RIESGOS
    Siglos, Aplicación desarrollada
    internamente de la empresa Sistemas La falta de validación adecuada de los
    Identificación de
    Colombia la cual tiene cómo objetivo datos de entrada puede permitir ataques
    posibles
    principal el manejo, control y seguimiento como la inclusión de archivos locales
    de inventario de los equipos de cómputo vulnerabilidades (LFI), la inclusión remota de archivos (RFI)
    de la compañía y administrados por el actuales en la o la ejecución de código arbitrario
    área de Service Desk aplicación.

    1 4
    2 Gestión insegura de
    Inyección de SQL sesiones
    Manejo inseguro de
    contraseñas Las sesiones son un componene básico
    Sucede cuando los datos proporcionados en la ejecución y funcionamiento de
    por los usuarios no se regulan Al no definir un estricto manejo la aplicación, se asegura la
    correctamente y permiten la ejecución de las contraseñas, roles y utilización de sesión segura
    de consultas SQL no deseadas lo que parametros de accesos tanto a almacenada en ubicación segura y
    permite que los atacantes puedan la aplicación cómo a la base de configurada correctamente, se
    acceder y manipular datos, tablas y datos se pueden abrir brechas cuenta con `session.cookie_secure` y
    secuencias mediante consutlas. de seguridad las cuales `session.cookie_httponly`, para
    permitiría el acceso noa proteger las sesiones contra ataques
    utorizado a módulos e de secuestro o XSS.
    información
    R
    1 2 3 4
    Se cuenta con una La aplicación fue Se evidencia con un sistema
    La aplicación actual al
    encriptación MD5 la cual desarrollada por una de control de sesión al
    contar con validación por
    garantiza seguridad y persona. y testeada por acceso, tiempos de espera
    objetos en cada input se
    fiablidad en el uso de 6 análistas, al ser y reposo para evitar
    garantiza la no
    las contraseñas, se revisada se cuenta con vulnerabilidad por
    utiliuzación de
    cuenta con variables de retroalimentación pero inactividad y la base de
    caracteres especiales
    sesión validables en cada se sugiere la ampliación datos está alojada en una
    que faciliten la inyección
    formulario las cuales del personal encargado máquina virtual
    de consultas no deseadas
    garantizan el acceso del desarrollo para administrada por 1 persona
    SQL en la aplicación
    autorizado y evitar el no abarcar más seguimiento lo cual minimiza los accesos
    mediante la interfáz.
    autorizado. y control. no autorizados

    Método de identificación de
    riesgos

    Uso de herramientas
    Revisión de código:
    de análisis dinámico las
    Relaizar una revisión Pruebas de Uso de herramientas
    Recursos de seguridad y cuales análizan
    exahustiva del código Penetración: de análisis estático
    seguimiento de informes durante el tiempo de
    PHP en búsuqeda de Denominadas las cuales revisan el
    de seguridad, Uso de ejecución para
    vulnerabilidades y "penetration testing" código en búsqueda
    recursos de seguridad identificar posibles
    malas prácticas de en la cual se simulan de problemas de
    confiables cómo OWASP vulnerabilidades y
    seguridad. ataques reales y seguridad y malas
    para tener presente las riesgos.
    explotar posibles prácticas de
    mejores prácticas de
    puntos débiles programación
    seguridad.

    También podría gustarte