Acunetixsumtiva 2

Acunetix Web Vulnerability Scanner está destinado a ayudar a los
administradores de red y desarrolladores web a proteger servidores y

aplicaciones de varios tipos de amenazas. El programa puede realizar
escaneos para evaluar qué tan segura es una red determinada. En este
sentido, se especializa en detectar problemas que comprometen la seguridad
de las aplicaciones web. El programa ofrece un tipo de protección que no
puede obtener de los firewalls. Está destinado principalmente a prevenir
ataques web, que se llevan a cabo a través de HTTP y, por lo tanto, no se
pueden bloquear por otros medios.
A pesar de las evidentes complejidades del código que se ejecuta "bajo el

capó" de este tipo de programa, Acunetix Web Vulnerability Scanner no hace
que el usuario se sienta abrumado, principalmente gracias a su diseño gráfico
intuitivo. En este sentido, debe saber que la GUI del programa solo es
accesible a través de su navegador web.
La herramienta le permite crear una lista de sitios web de destino, que puede
organizar en grupos. Luego, debe ingresar varios parámetros como la
velocidad de escaneo y los datos de inicio de sesión. Además, para que el
programa funcione como se esperaba, también debe proporcionar información
como agente de rastreo, credenciales y certificados.
Según sus desarrolladores, el producto puede detectar más de 4500

vulnerabilidades de aplicaciones web. Del mismo modo, puede detectar
vulnerabilidades críticas con alta precisión. También utiliza la tecnología
AcuSensor para recopilar información sobre aplicaciones web PHP o .NET.
Además, la herramienta es efectiva para detectar la inyección y ejecución de
código. El analizador puede descubrir posibles vulnerabilidades relacionadas
con los permisos de carpeta. Del mismo modo, la herramienta escanea los
puertos para encontrar aquellos que se han dejado abiertos accidentalmente.
En general, el software recibió críticas positivas de sus usuarios y no hay
ninguna afirmación sobre estas afirmaciones como falsas.
El programa crea varios tipos de informes. En este sentido, existen informes

generales en los que se destacan vulnerabilidades que afectan al desarrollo.
Además, hay un tipo de informe más específico destinado específicamente a
reflejar la compatibilidad con los estándares de seguridad.
Con todo, no hay duda de que Acunetix Web Vulnerability Scanner pertenece al
grupo imprescindible de software de seguridad. Proporciona una fuerte
protección contra muchos tipos de amenazas y vulnerabilidades. El producto es
shareware y su versión de prueba se puede evaluar durante 14 días.
Lamentablemente, no muestra un informe completo de cada vulnerabilidad.
Pruebas de testing de software
Desarrollo
1)
2)
Seguridad de
aplicaciones web
Consorcio: Clasificación
de amenazas
Informe de resultados
07 May 2023
Generado por Acunetix
Descripción
La Clasificación de amenazas a la seguridad web es un esfuerzo cooperativo
para aclarar y organizar las amenazas a la seguridad de un sitio web. Los
miembros del Consorcio de seguridad de aplicaciones web crearon este
proyecto para desarrollar y promover la terminología estándar de la industria
para describir estos problemas. Los desarrolladores de aplicaciones, los
profesionales de la seguridad, los proveedores de software y los auditores de
cumplimiento tendrán la capacidad de acceder a un lenguaje coherente para
los problemas relacionados con la seguridad web.

La clasificación de amenazas a la seguridad web compilará y destilará las
clases únicas conocidas de ataque, que han representado una amenaza para
los sitios web en el pasado.
Descargo de responsabilidad
Este documento o cualquier parte de su contenido no puede representar ni
incluirse en ninguna forma de asesoramiento legal. El resultado de un análisis
de vulnerabilidades (o evaluación de seguridad) debe utilizarse para garantizar
que se tomen medidas diligentes para reducir el riesgo de posibles ataques
para comprometer los datos.
El asesoramiento jurídico debe proporcionarse de acuerdo con su contexto
legal. Todas las leyes y los entornos en los que se aplican se modifican y
revisan constantemente. Por lo tanto, ninguna información provista en este
documento puede usarse como una alternativa a un representante o entidad
legal calificada.
Una parte de la información de este informe se tomó del documento
"Clasificación de amenazas" del Consorcio de seguridad de aplicaciones web,
que se puede encontrar en http://www.webappsec.org/.
Escanear
URL https://www.robertocarmona.cl/
Fecha de escaneo 07/05/2023

Duración
Perfil
Cumplimiento de un vistazo
Esta sección del informe es un resumen y enumera la cantidad de alertas
encontradas según las categorías de cumplimiento individuales.
- Autenticación: Fuerza bruta (1.1)
No hay alertas en esta categoría.
- Autenticación insuficiente (1.2)
- Validación de recuperación de contraseña débil (1.3)
Número total de alertas en esta categoría: 1
- Predicción de credencial/sesión (2.1)
Número total de alertas en esta categoría: 1.
- Autorización Insuficiente (2.2)
- Caducidad de sesión insuficiente (2.3)

- Fijación de sesión (2.4)
- Falsificación de contenido (3.1)
- Secuencias de comandos entre sitios (3.2)
- Desbordamiento de búfer (4.1)
- Formato de cadena de ataque (4.2)
- Inyección LDAP (4.3)
- Sistema operativo al mando (4.4)
- Inyección SQL (4.5)
- Inyección SSI (4.6)

- Inyección XPath (4.7)
- Indexación de directorios (5.1)
- Fuga de información (5.2)
- Recorrido de ruta (5.3)
- Ubicación de recursos predecible (5.4)
- Abuso de Funcionalidad (6.1)
- Denegación de servicio (6.2)
- Anti automatización insuficiente (6.3)

- Validación de proceso insuficiente (6.4)
Cumplimiento según categorías: un informe detallado
Esta sección es un informe detallado que explica cada vulnerabilidad
encontrada según las categorías de cumplimiento individuales.
(1.1) Autenticación: Fuerza bruta
Un ataque de fuerza bruta es un proceso automatizado de prueba y error que
se utiliza para adivinar el nombre de usuario, la contraseña, el número de
tarjeta de crédito o la clave criptográfica de una persona.
El probador de autenticación de Acunetix se puede utilizar para esquemas de
autenticación de fuerza bruta basados en el protocolo HTTP NTLM o la
autenticación básica o la autenticación basada en formularios HTML.
(1.2) Autenticación insuficiente
La autenticación insuficiente ocurre cuando un sitio web permite que un
atacante acceda a funciones o contenido confidencial sin tener que
autenticarse correctamente. Las herramientas de administración basadas en

web son un buen ejemplo de sitios web que brindan acceso a funciones
sensibles. Dependiendo del recurso en línea específico, estas aplicaciones web
no deben ser accesibles directamente sin que el usuario tenga que verificar
adecuadamente su identidad.
Para eludir la configuración de la autenticación, algunos recursos están
protegidos "ocultando" la ubicación específica y no vinculando la ubicación al
sitio web principal u otros lugares públicos. Sin embargo, este enfoque no es
más que "Seguridad a través de la oscuridad". Es importante comprender que,
simplemente porque un atacante desconoce un recurso, sigue estando
accesible directamente a través de una URL específica. La URL específica
podría descubrirse a través de un sondeo de fuerza bruta para ubicaciones
comunes de archivos y directorios (por ejemplo, /admin), mensajes de error,
registros de referencia o tal vez documentados en archivos de ayuda. Estos
recursos, ya sean de contenido o de funcionalidad, deben protegerse
adecuadamente.
(1.3) Validación de recuperación de contraseña débil

La validación de recuperación de contraseña débil es cuando un sitio web
permite que un atacante obtenga, cambie o recupere ilegalmente la contraseña
de otro usuario. Los métodos de autenticación de sitios web convencionales
requieren que los usuarios seleccionen y recuerden una contraseña o frase de
contraseña. El usuario debe ser la única persona que conozca la contraseña y
debe recordarla con precisión. A medida que pasa el tiempo, la capacidad del
usuario para recordar una contraseña se desvanece. El asunto se complica aún
más cuando el usuario promedio visita 20 sitios que requieren que proporcione
una contraseña. (Encuesta RSA:
http://news.bbc.co.uk/1/hi/technology/3639679.stm) Por lo tanto, la
recuperación de contraseña es una parte importante en el servicio a los
usuarios en línea.
Alertas en esta categoría
mod_negotiation es un módulo de Apache responsable de seleccionar el
documento que mejor se adapte a las capacidades del cliente, de uno de varios
documentos disponibles. Si el cliente proporciona un encabezado de
aceptación no válido, el servidor responderá con un error 406 No aceptable que
contiene una lista de pseudodirectorio. Este comportamiento puede ayudar a
un atacante a aprender más sobre su objetivo, por ejemplo, generar una lista
de nombres base, generar una lista de extensiones interesantes, buscar
archivos de respaldo, etc.

Puntaje base CVSS2: 5.0
Vector de acceso: Red accesible
Complejidad de acceso: Baja

CVSS2
Autenticación: Ninguna
Impacto en la confidencialidad: Parcial
Impacto en la integridad: Ninguno
Impacto en la disponibilidad: Ninguno
Explotabilidad: Prueba de concepto
Nivel de remediación: Solución alternativa.
Informe de confianza: no corroborado
Requisito de disponibilidad: no definido
Potencial de daño colateral: no definido
Requisito de confidencialidad: no definido
Requisito de integridad: no definido
Distribución objetivo: no definido
CWE CWE-538
Artículo afectado Web Server

Parametro Afectado
Variantes
(2.1) Predicción de credencial/sesión
La predicción de credenciales/sesión es un método para secuestrar o suplantar
a un usuario del sitio web. Deducir o adivinar el valor único que identifica una
sesión o usuario en particular logra el ataque. También conocido como
secuestro de sesión, las consecuencias podrían permitir a los atacantes la
capacidad de emitir solicitudes de sitios web con los privilegios del usuario
comprometido.


CVSS2

CWE CWE-538

Parametro Afectado
Variantes
(2.2) Autorización insuficiente
Autorización insuficiente es cuando un sitio web permite el acceso a contenido
o funcionalidad confidencial que debería requerir mayores restricciones de
control de acceso. Cuando un usuario se autentica en un sitio web, no significa
necesariamente que deba tener acceso completo a todo el contenido y que la
funcionalidad deba otorgarse arbitrariamente.
Los procedimientos de autorización se realizan después de la autenticación,
haciendo cumplir lo que un usuario, servicio o aplicación puede hacer. Las
restricciones bien pensadas deben regir la actividad particular del sitio web de
acuerdo con la política. Es posible que las partes sensibles de un sitio web
deban restringirse a todos, excepto quizás a un administrador.

Mod negotiation es un módulo de Apache responsable de seleccionar el
contiene una lista de pseudo directorio. Este comportamiento puede ayudar a

CVSS2

CWE CWE-538

Parametro Afectado
Variantes
(2.3) Caducidad de sesión insuficiente
La caducidad de sesión insuficiente es cuando un sitio web permite que un
atacante reutilice las credenciales de sesión o los ID de sesión anteriores para
la autorización. La caducidad de sesión insuficiente aumenta la exposición de
un sitio web a ataques que roban o se hacen pasar por otros usuarios.


CVSS2
CWE CWE-538

Parametro Afectado
Variantes
2.4) Fijación de sesión
La Fijación de Sesión es una técnica de ataque que fuerza la ID de sesión de
un usuario a un valor explícito. Dependiendo de la funcionalidad del sitio web
de destino, se pueden utilizar varias técnicas para "arreglar" el valor de ID de
sesión. Estas técnicas van desde exploits Cross-site Scripting hasta salpicar el
sitio web con solicitudes HTTP realizadas previamente. Una vez que se ha
corregido la ID de sesión de un usuario, el atacante esperará a que inicie
sesión. Una vez que el usuario lo hace, el atacante usa el valor de ID de sesión
predefinido para asumir su identidad en línea.
(3.1) Falsificación de contenido
La falsificación de contenido es una técnica de ataque utilizada para engañar a
un usuario haciéndole creer que cierto contenido que aparece en un sitio web
es legítimo y no proviene de una fuente externa.

Algunas páginas web se sirven utilizando fuentes de contenido HTML
construidas dinámicamente. Por ejemplo, la ubicación de origen de un marco
podría especificarse mediante un valor de parámetro de URL:
http://foo.example/page?frame_src=http://foo.example/file.html
Un atacante puede reemplazar el valor del parámetro "frame_src" con
"frame_src=http://attacker.example/spoof.html". Cuando se sirve la página web
resultante, la barra de ubicación del navegador permanece visiblemente bajo el
dominio esperado por el usuario (foo.example), pero los datos externos
(attacker.example) están ocultos por contenido legítimo.
(3.2) Secuencias de comandos entre sitios
Cross-site Scripting (XSS) es una técnica de ataque que obliga a un sitio web a
repetir el código ejecutable proporcionado por el atacante, que se carga en el
navegador del usuario. El código en sí generalmente está escrito en
HTML/JavaScript, pero también puede extenderse a VBScript, ActiveX, Java,
Flash o cualquier otra tecnología compatible con el navegador.

Cuando un atacante consigue que el navegador de un usuario ejecute su
código, el código se ejecutará dentro del contexto (o zona) de seguridad del
sitio web de alojamiento. Con este nivel de privilegio, el código tiene la
capacidad de leer, modificar y transmitir cualquier dato confidencial accesible
por el navegador. Un usuario con Cross-site Script podría tener su cuenta
secuestrada (robo de cookies), su navegador redirigido a otra ubicación, o
posiblemente mostrar contenido fraudulento entregado por el sitio web que está
visitando. Los ataques de Crossite Scripting esencialmente comprometen la
relación de confianza entre un usuario y el sitio web.
4.1) Desbordamiento de búfer
Los exploits de desbordamiento de búfer son ataques que alteran el flujo de
una aplicación al sobrescribir partes de la memoria. El desbordamiento de búfer
es una falla de software común que resulta en una condición de error. Esta
condición de error ocurre cuando los datos escritos en la memoria superan el
tamaño asignado del búfer. A medida que se desborda el búfer, las direcciones
de memoria adyacentes se sobrescriben, lo que hace que el software falle o se
bloquee. Cuando no se restringe, la entrada correctamente diseñada se puede
utilizar para desbordar el búfer, lo que genera una serie de problemas de
seguridad.
Un desbordamiento de búfer se puede usar como un ataque de denegación de
servicio cuando la memoria está dañada, lo que provoca una falla del software.
Aún más crítica es la capacidad de un ataque de desbordamiento de búfer para
alterar el flujo de la aplicación y forzar acciones no deseadas. Este escenario
puede ocurrir de varias maneras. Las vulnerabilidades de desbordamiento de
búfer se han utilizado para sobrescribir punteros de pila y redirigir el programa
para ejecutar instrucciones maliciosas. Los desbordamientos de búfer también
se han utilizado para cambiar las variables del programa.
(4.2) Ataque de cadena de formato
Los ataques de cadena de formato alteran el flujo de una aplicación mediante
el uso de funciones de biblioteca de formato de cadena para acceder a otro
espacio de memoria. Las vulnerabilidades ocurren cuando los datos
proporcionados por el usuario se usan directamente como entrada de cadena
de formato para ciertas funciones de C/C++ (por ejemplo, fprintf, printf, sprintf,
setproctitle, syslog, ...).
Si un atacante pasa una cadena de formato que consta de caracteres de
conversión printf (por ejemplo, "%f", "%p", "%n", etc.) como valor de parámetro
a la aplicación web, puede:

Ejecutar código arbitrario en el servidor Leer valores de la pila
Causa fallas de segmentación / bloqueos de software Número total de alertas
en esta categoría: 1

CVSS2

CWE CWE-538

Parametro Afectado
Variantes
(4.3) Inyección LDAP
La inyección LDAP es una técnica de ataque utilizada para explotar sitios web
que construyen declaraciones LDAP a partir de entradas proporcionadas por el
usuario.
El protocolo ligero de acceso a directorios (LDAP) es un protocolo de estándar
abierto para consultar y manipular servicios de directorio X.500. El protocolo
LDAP se ejecuta sobre protocolos de transporte de Internet, como TCP. Las
aplicaciones web pueden usar entradas proporcionadas por el usuario para

crear declaraciones LDAP personalizadas para solicitudes de páginas web
dinámicas.
(4.4) Comando del sistema operativo
OS Commanding es una técnica de ataque utilizada para explotar sitios web
mediante la ejecución de comandos del sistema operativo a través de la
manipulación de la entrada de la aplicación.
Cuando una aplicación web no desinfecta adecuadamente la entrada
proporcionada por el usuario antes de usarla dentro del código de la aplicación,
es posible engañar a la aplicación para que ejecute comandos del sistema
operativo. Los comandos ejecutados se ejecutarán con los mismos permisos
del componente que ejecutó el comando (por ejemplo, servidor de base de
datos, servidor de aplicaciones web, servidor web, etc.).

(4.5) Inyección SQL
SQL Injection es una técnica de ataque utilizada para explotar sitios web que
construyen declaraciones SQL a partir de entradas proporcionadas por el
usuario.
Cuando una aplicación web no desinfecta adecuadamente la entrada
proporcionada por el usuario, es posible que un atacante altere la construcción
de las declaraciones SQL de back-end. Cuando un atacante puede modificar
una declaración SQL, el proceso se ejecutará con los mismos permisos que el
componente que ejecutó el comando. (por ejemplo, servidor de base de datos,
servidor de aplicaciones web, servidor web, etc.). El impacto de este ataque
puede permitir a los atacantes obtener el control total de la base de datos o
incluso ejecutar comandos en el sistema.
(4.6) Inyección SSI
La inyección SSI (inclusión del lado del servidor) es una técnica de explotación
del lado del servidor que permite a un atacante enviar código a una aplicación
web, que luego será ejecutado localmente por el servidor web. SSI Injection
aprovecha la falla de una aplicación web para desinfectar los datos
proporcionados por el usuario antes de que se inserten en un archivo HTML
interpretado del lado del servidor.
Si un atacante envía una declaración de inclusión del lado del servidor, puede
tener la capacidad de ejecutar comandos arbitrarios del sistema operativo o
incluir el contenido de un archivo restringido la próxima vez que se sirva la
página.

CVSS2
CWE CWE-538

Parametro Afectado
Variantes
(4.7) Inyección XPath

XPath Injection es una técnica de ataque utilizada para explotar sitios web que
construyen consultas XPath a partir de entradas proporcionadas por el usuario.
XPath 1.0 es un lenguaje utilizado para referirse a partes de un documento
XML. Puede ser utilizado directamente por una aplicación para consultar un
documento XML, o como parte de una operación más grande, como aplicar una
transformación XSLT a un documento XML o aplicar un JQuery a un
documento XML.
(5.1) Indexación de directorios
El listado/indexación automática de directorios es una función del servidor web
que enumera todos los archivos dentro de un directorio solicitado si el archivo
base normal (index.html/home.html/default.htm) no está presente. Cuando un
usuario solicita la página principal de un sitio web, normalmente escribe una
URL como: http://www.example.com, utilizando el nombre de dominio y
excluyendo un archivo específico. El servidor web procesa esta solicitud y
busca en el directorio raíz del documento el nombre de archivo predeterminado
y envía esta página al cliente. Si esta página no está presente, el servidor web
emitirá una lista de directorios y enviará la salida al cliente. Esencialmente, esto
es equivalente a emitir un comando "ls" (Unix) o "dir" (Windows) dentro de este

directorio y mostrar los resultados en formato HTML. Desde una perspectiva de
ataque y contramedidas, es importante darse cuenta de que las listas de
directorios no deseadas pueden ser posibles debido a las vulnerabilidades del
software.

CVSS2

CWE CWE-538

Parametro Afectado
Variantes
(5.2) Fuga de información
La fuga de información ocurre cuando un sitio web revela datos confidenciales,
como comentarios de desarrolladores o mensajes de error, que pueden ayudar
a un atacante a explotar el sistema. La información confidencial puede estar
presente en comentarios HTML, mensajes de error, código fuente o
simplemente dejarse a la vista. Hay muchas formas en que se puede persuadir
a un sitio web para que revele este tipo de información. Si bien la fuga no
representa necesariamente una brecha en la seguridad, le brinda al atacante
una guía útil para la explotación futura. La fuga de información confidencial
puede conllevar varios niveles de riesgo y debe limitarse siempre que sea
posible.


CVSS2
CWE CWE-538

Parametro Afectado
Variantes
(5.3) Recorrido de ruta
La técnica de ataque Path Traversal fuerza el acceso a archivos, directorios y
comandos que residen potencialmente fuera del directorio raíz del documento
web. Un atacante puede manipular una URL de tal manera que el sitio web
ejecute o revele el contenido de archivos arbitrarios en cualquier parte del
servidor web. Cualquier dispositivo que exponga una interfaz basada en HTTP
es potencialmente vulnerable a Path Traversal.
La mayoría de los sitios web restringen el acceso de los usuarios a una parte
específica del sistema de archivos, normalmente denominada directorio "raíz
del documento web" o "raíz CGI". Estos directorios contienen los archivos
destinados al acceso de los usuarios y los ejecutables necesarios para
impulsar la funcionalidad de la aplicación web. Para acceder a archivos o
ejecutar comandos en cualquier parte del sistema de archivos, los ataques de
Path Traversal utilizarán la capacidad de las secuencias de caracteres
especiales.

(5.4) Ubicación de recursos predecible
La ubicación predecible de recursos es una técnica de ataque utilizada para
descubrir el contenido y la funcionalidad ocultos del sitio web. Al hacer
conjeturas, el ataque es una búsqueda de fuerza bruta en busca de contenido
que no está destinado a la visualización pública. Los archivos temporales, los
archivos de copia de seguridad, los archivos de configuración y los archivos de
muestra son ejemplos de archivos potencialmente sobrantes. Estas búsquedas
de fuerza bruta son fáciles porque los archivos ocultos a menudo tendrán una
convención de nomenclatura común y residirán en ubicaciones estándar. Estos
archivos pueden divulgar información confidencial sobre aplicaciones web
internas, información de bases de datos, contraseñas, nombres de máquinas,
rutas de archivos a otras áreas confidenciales o posiblemente contener
vulnerabilidades. La divulgación de esta información es valiosa para un
atacante.
(6.1) Abuso de Funcionalidad

El abuso de funcionalidad es una técnica de ataque que utiliza las funciones y
funciones propias de un sitio web para consumir, defraudar o eludir los
mecanismos de control de acceso. Se puede abusar de algunas funciones de
un sitio web, posiblemente incluso de las características de seguridad, para
provocar un comportamiento inesperado. Cuando una parte de la funcionalidad
está abierta al abuso, un atacante podría potencialmente molestar a otros
usuarios o tal vez defraudar al sistema por completo. El potencial y el nivel de
abuso variarán de un sitio web a otro y de una aplicación a otra.
(6.2) Denegación de Servicio
La denegación de servicio (DoS) es una técnica de ataque con la intención de
evitar que un sitio web sirva la actividad normal del usuario. Los ataques DoS,
que normalmente se aplican fácilmente a la capa de red, también son posibles
en la capa de aplicación. Estos ataques maliciosos pueden tener éxito privando
a un sistema de recursos críticos, explotando vulnerabilidades o abusando de
la funcionalidad.

(6.3) Anti-automatización insuficiente
La anti-automatización insuficiente es cuando un sitio web permite que un
atacante automatice un proceso que solo debe realizarse manualmente.
Ciertas funcionalidades del sitio web deben protegerse contra ataques
automatizados.
Si no se controlan, los robots (programas) automatizados o los atacantes
podrían ejercer repetidamente la funcionalidad del sitio web para intentar
explotar o defraudar el sistema. Un robot automatizado podría ejecutar
potencialmente miles de solicitudes por minuto, lo que provocaría una posible
pérdida de rendimiento o servicio.

CVSS2
CWE CWE-538

Parametro Afectado
Variantes
(6.4) Validación de proceso insuficiente
La validación de proceso insuficiente es cuando un sitio web permite que un
atacante pase por alto o eluda el control de flujo previsto de una aplicación. Si
el estado del usuario a través de un proceso no se verifica y aplica, el sitio web
podría ser vulnerable a la explotación o el fraude.


CVSS2
CWE CWE-538

Parametro Afectado
Variantes
Elementos afectados: un informe detallado
Esta sección proporciona detalles completos de los tipos de vulnerabilidades
encontradas según los elementos afectados individuales.
Servidor web
Apache mod_negotiation nombre de archivo fuerza bruta
Esta alerta pertenece a las siguientes categorías: 1.3, 2.1, 2.2, 2.3, 4.2, 4.6,
5.1, 5.2, 6.3, 6.4

CVSS2
CWE CWE-538

Parametro Afectado
Variantes
Elementos escaneados (informe de cobertura)
https://www.robertocarmona.cl/

Acunetixsumtiva 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Acunetixsumtiva 2

Cargado por

Copyright:

Formatos disponibles

Acunetix Web Vulnerability Scanner está destinado a ayudar a los

administradores de red y desarrolladores web a proteger servidores y

A pesar de las evidentes complejidades del código que se ejecuta "bajo el

Según sus desarrolladores, el producto puede detectar más de 4500

El programa crea varios tipos de informes. En este sentido, existen informes

Pruebas de testing de software

Generado por Acunetix

La Clasificación de amenazas a la seguridad web es un esfuerzo cooperativo

para aclarar y organizar las amenazas a la seguridad de un sitio web. Los

miembros del Consorcio de seguridad de aplicaciones web crearon este

proyecto para desarrollar y promover la terminología estándar de la industria

para describir estos problemas. Los desarrolladores de aplicaciones, los

profesionales de la seguridad, los proveedores de software y los auditores de

cumplimiento tendrán la capacidad de acceder a un lenguaje coherente para

los problemas relacionados con la seguridad web.

los sitios web en el pasado.

Este documento o cualquier parte de su contenido no puede representar ni

incluirse en ninguna forma de asesoramiento legal. El resultado de un análisis

de vulnerabilidades (o evaluación de seguridad) debe utilizarse para garantizar

que se tomen medidas diligentes para reducir el riesgo de posibles ataques

para comprometer los datos.

El asesoramiento jurídico debe proporcionarse de acuerdo con su contexto

revisan constantemente. Por lo tanto, ninguna información provista en este

documento puede usarse como una alternativa a un representante o entidad

Una parte de la información de este informe se tomó del documento

"Clasificación de amenazas" del Consorcio de seguridad de aplicaciones web,

que se puede encontrar en http://www.webappsec.org/.

Fecha de escaneo 07/05/2023

Esta sección del informe es un resumen y enumera la cantidad de alertas

encontradas según las categorías de cumplimiento individuales.

- Autenticación: Fuerza bruta (1.1)

No hay alertas en esta categoría.

- Autenticación insuficiente (1.2)

No hay alertas en esta categoría.

- Validación de recuperación de contraseña débil (1.3)

Número total de alertas en esta categoría: 1

- Predicción de credencial/sesión (2.1)

Número total de alertas en esta categoría: 1.

- Autorización Insuficiente (2.2)

Número total de alertas en esta categoría: 1.

- Caducidad de sesión insuficiente (2.3)

Número total de alertas en esta categoría: 1.

No hay alertas en esta categoría.

- Falsificación de contenido (3.1)

No hay alertas en esta categoría.

- Secuencias de comandos entre sitios (3.2)

No hay alertas en esta categoría.

- Desbordamiento de búfer (4.1)

No hay alertas en esta categoría.

- Formato de cadena de ataque (4.2)

Número total de alertas en esta categoría: 1.

- Inyección LDAP (4.3)

No hay alertas en esta categoría.

- Sistema operativo al mando (4.4)

No hay alertas en esta categoría.

- Inyección SQL (4.5)

No hay alertas en esta categoría.

- Inyección SSI (4.6)

- Inyección XPath (4.7)

No hay alertas en esta categoría.

- Indexación de directorios (5.1)

Número total de alertas en esta categoría: 1.

- Fuga de información (5.2)