Módulo DESARROLLO SEGURO EN INGENIERÍA DE SOFTWARE

Alexander Guerrero
GRUPO:
Christian Merchán
Nombres y apellidos Robert Acosta

Práctica: Informe Ejecutivo

OBJETIVO

Realizar un análisis de vulnerabilidades del sitio web altoromutual.com:8080 con el fin de

conocer el nivel de seguridad actual del sitio web.

ALCANCE

Mediante un escaneo detectar las vulnerabilidades activas del sitio web para describir las
posibles remediaciones necesarias para mitigarlas y las áreas encargadas para realizar estas
actividades.

DESARROLLO

Se realizó un escaneo al sitio web altoromutual.com:8080 usando la herramienta owaszap,

obteniéndose como resultado 9 vulnerabilidades en total: 1 de severidad Alta, 4 de severidad
Media y 4 de severidad Baja que se resumen en el siguiente gráfico:
 De acuerdo a la categoría asignada por Owasp, se tiene las siguientes clasificaciones:

ROAD MAP

El plan de remediación de las vulnerabilidades se detalla en la siguiente matriz:

Semana\Actividad Semana 1 Semana 2 Semana 3 Semana 4 Semana 5 Semana 6 Semana 7

Configuración de la función
HttpOnly y del tipo de
codificación ISO-8859-1 o UTF-8
Configurar los navegadores
web con cabeceras HTTP
Content-Security-Policy y X-
Frame-Options.
Configuración de seguridad de
cookies
Configuración de fiabilidad y
acceso de fuentes para archivos
JavaScript
Uso de bibliotecas o marcos
fiables y
verificación del encabezado
"HTTP Referer"
Configración de Políticas de
seguridad de contenido en las
cabeceras
Configuración de restricción del
encabezado para no
proporcionar detalles
genéricos.
Configuración manual de datos
de la marca de tiempo no
confidenciales y validación de
datos que puedan patrones
explotables.
Establecer el encabezado de
tipo de contenido
correctamente y en estado
'nosniff' para todas las páginas
web.
 CONCLUSIONES

 Posterior al escaneo se identificaron 9 vulnerabilidades presentes en la página web de las

cuales 1 es de riego Alto, 4 de riesgo Medio y 4 de riesgo Bajo.
 Se identificaron 5 categorías definidas en OWASP 2021, siendo “A5-Error de configuración
de seguridad” la categoría que tiene más vulnerabilidades asociadas con 4.
 Se definieron 3 áreas encargadas de remediar las vulnerabilidades encontradas, TIC’S con 5,
Control de Acceso con 2 y Desarrollo con 2 vulnerabilidades.

RECOMENDACIONES

 Cumplir los tiempos definidos en el Road Map con el fin de evitar un incidente de seguridad
que ponga en riesgo el funcionamiento del servicio web.
 Definir los recursos requeridos para remediar las vulnerabilidades encontradas, para
aplicarlos lo más pronto posible reduciendo el área de ataque tanto como sea posible.
 Realizar escaneos y análisis de vulnerabilidades periódicamente y así detectar puertas de
entrada para posibles ataques.