Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Grupo: 4
Integrantes:
Martinez Rodriguez Miguel Angel
Paco Surco Alex Junior
Reyes Pereyra Franz Edwin
Rojas Alba Willian
Velásquez Sánchez Brandon
II. OBJETIVOS
A. Objetivo general
Desarrollar conocimientos en el área de las pruebas de seguridad y pruebas de rendimiento en
aplicaciones web.
B. Objetivo Especifico
• Recabar y analizar información sobre las pruebas en aplicaciones web.
• Recabar y analizar información sobre pruebas de seguridad en aplicaciones web.
• Recabar y analizar información sobre pruebas de rendimiento en aplicaciones web.
• Investigar información de los casos donde se aplicó pruebas de seguridad de aplicaciones
web.
• Investigar información de los casos donde se aplicó pruebas de rendimiento de
aplicaciones web.
• Desarrollar habilidades para realizar pruebas de seguridad y pruebas de rendimiento en
aplicaciones web.
• Demostrar conocimientos sobre pruebas de seguridad en casos de uso que se encuentran
en producción.
• Demostrar conocimientos sobre pruebas de rendimiento en casos de uso que se
encuentran en producción.
III. PRUEBAS EN APLICACIONES WEB
A. ¿Qué son las pruebas en aplicaciones web?
Las pruebas en aplicaciones son una práctica de prueba de software en busca de posibles errores.
Es una prueba completa de aplicaciones basadas en la web antes de hacerlas en vivo.
Un sistema basado en la web debe verificarse completamente de extremo a extremo antes de que
se active para los usuarios finales.
Al realizar pruebas de sitios web, una organización puede asegurarse de que el sistema basado en
la web funcione correctamente y pueda ser aceptado por los usuarios en tiempo real.
El diseño y la funcionalidad de la interfaz de usuario son los capitanes de las pruebas del sitio web.
A continuación, se lista las pruebas que se realizan a las aplicaciones web:
• Functionality Testing
• Usability testing
• Interface testing
• Compatibility testing
• Performance testing
• Security testing
En el presente documento nos adentramos en las pruebas de seguridad y pruebas de rendimiento.
B. Pruebas de seguridad (Security testing)
Las pruebas de seguridad son un tipo de prueba de software que revela vulnerabilidades,
amenazas, riesgos en una aplicación de software y previene ataques maliciosos de intrusos. El propósito
de las Pruebas de Seguridad es identificar todas las lagunas y debilidades potenciales en el sistema de
software que podrían resultar en la pérdida de información, ingresos, reputación de los empleados o
personas ajenas a la Organización.
Los hackers recurren a los ataques de inyección de SQL con el fin de introducirse en la base de
datos de un sitio web.
Sabotaje: un hacker puede sembrar el caos fácilmente en una empresa borrando su base de datos
o destrozando el sitio web.
Robo de datos: muchos ataques de SQLI tienen por objeto robar datos confidenciales tales como
secretos comerciales, información privilegiada, propiedad intelectual protegida y, a menudo, información
de los usuarios o clientes.
Filtraciones de seguridad: un hacker podría usar el contenido de una base de datos quebrantada
para acceder a otras partes de la red interna de una empresa. Al final, toda la red puede estar en riesgo.
Pérdida de reputación: tras sufrir los efectos de un ataque de SQLI, puede resultar difícil que una
empresa recupere la confianza de sus clientes y del público en general.
b) Vulnerabilidad de redirección de URL
Una de las vulnerabilidades más comunes y en gran medida ignoradas por los desarrolladores web
es Open Redirect (también conocido como “Redireccionamientos y Reenvíos no Validados “).
Una redirección abierta (Open Redirect) es cuando una aplicación o servidor web utiliza un enlace
no validado enviado por el usuario para redirigirlo a un sitio o página web determinado. Aunque parece
una acción inofensiva dejar que el usuario decida a qué página quiere ser redirigido, esa técnica, si se
explota, puede tener un grave impacto en la seguridad de la aplicación, especialmente cuando se combina
con otras vulnerabilidades y trucos.
Este tipo de ataques tienen como objetivo degradar la calidad de un servicio, por ejemplo, una
página web, y dejarlo en un estado no funcional. Para lograrlo, se saturan los recursos del sistema que
aloja el servicio que se quiere interrumpir, enviándoles una avalancha de peticiones que no son capaces
de atender.
Una evolución de este tipo de ataque es la denegación de servicio distribuido o DDoS por sus siglas
en inglés Distributed Denial of Service. Consiste en utilizar un elevado número de dispositivos atacantes
contra el objetivo. Los ataques DDoS muchas veces son llevados a cabo por bots, sistemas infectados cuyo
propietario muchas veces desconoce que sus dispositivos forman parte de esta red maliciosa.
(2) Medidas de prevención frente a las DoS y DDoS
Los ataques de denegación de servicio, ya sea distribuido o no, causan graves consecuencias en los
sistemas atacados. Implementar medidas preventivas será imprescindible ya que, en caso contrario,
solamente sabremos que hemos sido víctimas de este ataque cuando el servicio deje de funcionar.
Para minimizar las consecuencias de estos ataques sobre nuestros sistemas se deberán incorporar
distintas medidas de seguridad.
(3) Medidas de protección en la red interna
Cuando la página web se encuentra en la red interna de la empresa se han de incorporar elementos
de protección perimetral para protegerlo. Entre otras medidas:
• Ubicar el servidor web en una zona desmilitarizada (entre cortafuegos), también llamada
DMZ, evitando así que un intruso pueda acceder a la red interna si vulnera el servidor
web;
• implementar un sistema de detección y prevención de intrusiones (IDS/IPS) que
monitorizan las conexiones y nos alerta si detecta intentos de acceso no autorizados o
mal uso de protocolos;
• utilizar un dispositivo o software con funcionalidad mixta (antivirus, cortafuegos y otras),
como un UTM que permite gestionar de manera unificada la mayoría de ciber amenazas
que pueden afectar a una empresa.
El uso combinado de estos elementos, que pueden ser tanto software como hardware, y su
correcta configuración, reducirá las posibilidades de sufrir un ataque de denegación de servicio.
(4) Medidas de protección en el hosting
En caso de que se haya contratado un hosting debes informarte sobre las medidas de seguridad
que ha implementado el proveedor. Tendrás que comprobar que son como las del apartado anterior.
Algunos proveedores ofrecen estas medidas de seguridad en el panel de administración del alojamiento
web. Verifica con el proveedor quién será el encargado de su configuración y administración.
Los ataques de denegación de servicio pueden afectar a cualquier empresa, pero las consecuencias
variarán mucho dependiendo de las medidas de prevención que se hayan tomado. Si estas son correctas,
las consecuencias del ataque serán imperceptibles, pero en cambio si las medidas de prevención son nulas
el sitio web puede quedar inoperativo durante todo el tiempo que dure el ataque. ¡Protege tu web frente
ataques de denegación de servicio!
Intruder Es un escáner de vulnerabilidades en línea de nivel empresarial fácil de usar que encuentra
debilidades de ciberseguridad en su infraestructura digital, para evitar costosas filtraciones de datos.
Ejecuta más de 10,000 controles de seguridad de alta calidad en todas sus infraestructuras de TI, que
incluyen, entre otros: vulnerabilidades de configuración, vulnerabilidades de aplicaciones (como
inyección SQL y secuencias de comandos entre sitios) y parches faltantes. Al proporcionar resultados de
prioridad inteligentes, así como análisis proactivos para las últimas amenazas, Intruder ayuda a ahorrar
tiempo y mantiene a las empresas de todos los tamaños a salvo de los piratas informáticos. [2]
Aspectos:
• Conectores en la nube de AWS, Azure y Google
• Resultados específicos del contorno para reducir su superficie de ataque externa
• Informes de alta calidad
• Slack integrado, Microsoft Staff, Jira, Zapier
• Integración de API con su canalización de CI / CD
b) Owasp Zap
El OWASP Zed Attack Proxy (ZAP) es una de las herramientas de seguridad gratuitas más populares
del mundo de 1992 y es mantenida activamente por cientos de voluntarios internacionales. Puede
ayudarlo a encontrar automáticamente vulnerabilidades de seguridad en sus aplicaciones web mientras
desarrolla y prueba sus aplicaciones. También es una gran herramienta para que los pentesters
experimentados la usen para pruebas de seguridad manuales.
c) InsightVM
(1) ¿Qué es InsightVM?
Monitoreo continuo
Rapid7 Insight VM monitorea en tiempo real todos tus activos. Lo mejor de esto esta solución
actúa de forma simple sin ralentizar o afectar de forma negativa tus sistemas. Lo que te brinda poder y
ligereza al mismo tiempo.
(b) CARACTERISTICAS
• Agente de punto final ligero
• Tableros en vivo
• Priorización de riesgos reales
• Proyectos de remediacion integradis de TI
• Evaluacion de la infraestructura virtual y de la nube
• Seguridad del contenedor
• Fuentes integradas de amenazas
• Objeticos y SLA
• API RESTful facil de usar
• Evaluacion de políticas.
• Aplicación de parches asistida por automatizacion
• Contencion automatizada.
C. Pruebas de rendimiento
1. ¿Qué son las pruebas de rendimiento?
Las pruebas de rendimiento son uno de los componentes más desafiantes de las pruebas de
aplicaciones web. Pero vale la pena: si se hace bien, las pruebas de rendimiento pueden pronosticar el
comportamiento del producto y su respuesta a las acciones del usuario con una cantidad impresionante
de detalles y precisión. Los datos irrelevantes de las pruebas de rendimiento web o las métricas
incorrectas elegidas durante las pruebas cuestan a las empresas mucho dinero y esfuerzo, mientras que
no monitorear el rendimiento de su aplicación web en absoluto puede conducir directamente a un
bloqueo, por ejemplo, en el Black Friday, si no está preparado para manejar un mayor número de usuarios
simultáneos.
En el contexto del desarrollo web, las pruebas de rendimiento implican el uso de herramientas de
software para simular cómo se ejecuta una aplicación en circunstancias específicas. Las pruebas
cuantitativas de rendimiento analizan métricas como el tiempo de respuesta, mientras que las pruebas
cualitativas se ocupan de la escalabilidad, la estabilidad y la interoperabilidad.
Cuando se escucha la palabra "rendimiento", la mayoría de la gente piensa inmediatamente en la
velocidad. Los tiempos de carga rápidos y los tiempos de respuesta son absolutamente necesarios en
estos días, pero debe pensar en el panorama general, que requiere más que solo hacer clic en todos sus
enlaces para asegurarse de que funcionen. El hecho de que todo funcione perfectamente durante las
pruebas de producción no significa que ese será el caso cuando su sitio web esté inundado de tráfico
a) Objetivos de las pruebas de rendimiento:
• Localizar cuellos de botella. Por ejemplo, si hay mucha carga de usuarios y el sistema colapsa o
los tiempos de respuesta son muy altos, estas pruebas nos sirven para detectar dónde está el
problema, si es debido a que el sistema se queda sin CPU, si se queda sin memoria, o si el ancho
de banda es insuficiente.
• Identificar y localizar problemas de rendimiento en la aplicación. Por ejemplo, si observamos
que cierta funcionalidad de la aplicación tiene un tiempo de respuesta muy alto, a partir de ahí
tenemos que ver por qué ocurre y cómo optimizarlo. Es decir, no sólo nos permite encontrar el
problema rendimiento, sino que también ayuda a localizar dónde está ese problema de
rendimiento para poder subsanarlo.
• Verificar el cumplimiento de los SLA (Acuerdos de Nivel de Servicio). Por ejemplo, si tenemos
una aplicación que prevé tener unos mil usuarios de forma concurrente y necesitamos que los
tiempos de respuesta sean inferiores a 3 segundos. Podemos ejecutar una prueba con esas
condiciones y ver esos tiempos de respuesta.
Para optimizar su velocidad de búsqueda de DNS, todo lo que necesita hacer es averiguar qué
servicio proporcionará el mayor rendimiento por su dinero. Si está buscando un servidor de nombres de
alto volumen, programable y autorizado que utilice la infraestructura de Google, pruebe el DNS en la nube
de Google. Por supuesto, Google es solo una opción entre otros servicios.
g) Tasa de error (Error Rate)
La tasa de error es una métrica de rendimiento que realiza un seguimiento del porcentaje de
problemas de solicitud que tiene en relación con el número total de solicitudes. Es importante vigilar este
número, ya que cualquier pico significará que está viendo una falla importante en algún momento pronto
en el futuro.
Los errores pueden ser el resultado de innumerables cosas diferentes y no hay una buena manera
de prevenirlos. Lo mejor que puede hacer es asegurarse de ponerse frente a ellos monitoreando de cerca
su sitio web o aplicación utilizando una herramienta de monitoreo de usuario real.
h) Tiempo pico de respuesta (Peak Response Time)
El tiempo de respuesta pico (PRT) mide el tiempo de respuesta más largo para todas las solicitudes
que llegan a través del servidor. Le dará una idea de dónde su aplicación web tiene un rendimiento inferior
o tiene dificultades para cumplir con las solicitudes y también lo ayudará a identificar al culpable más
fácilmente.
Al trabajar con API de terceros, es importante supervisar cómo funcionan las API bajo carga y cuál
es su tiempo de respuesta para los usuarios que están más lejos de usted. Podría estar usando la CDN más
rápida y tener una aplicación que se escale con gracia, pero si está utilizando una API para analizar las
imágenes de perfil cargadas para los usuarios que inician sesión que se crea solo para servir a las personas
en los EE. UU., De una manera eficiente, todos sus usuarios de Europa o Asia tendrán una experiencia
bastante mala.
i) Utilización del hardware (Hardware utilization)
Puede tener la impresión de que la utilización del hardware no cae bajo su responsabilidad y la
empresa de alojamiento o el proveedor de servicios tiene que controlar sus máquinas, pero en realidad,
esto afectará directamente el rendimiento de su sitio web, por lo que controlar el hardware será una
prioridad.
Tiene tres componentes principales en los que centrarse:
• La CPU
• Utilización de RAM
• Espacio en disco
Cualquiera de estos componentes puede crear cuellos de botella de rendimiento que pueden
provocar fallos catastróficos como apagar todo el servidor.
j) Tiempo de actividad (Uptime)
Esta no es una métrica de rendimiento per se, pero, sin embargo, es un aspecto crucial de su sitio
web o aplicación. ¿Recuerdas ese pequeño número que viste en la página de precios de tu empresa de
hosting y fue de alrededor del 99%? Ese decimal es extremadamente importante y realmente necesitas
prestarle atención. Permítanme poner las cosas en perspectiva:
99%: significa alrededor de 7 horas de tiempo de inactividad
99.9%: significa alrededor de 45 minutos de tiempo de inactividad
99.999%: significa alrededor de 30 segundos de tiempo de inactividad
k) Cómo medir las métricas de rendimiento del sitio web con las herramientas
El rendimiento de la aplicación web o del sitio web no es algo que hagas una vez y luego te olvides,
sino más bien una tarea continua que sin las herramientas adecuadas será casi imposible de lograr. Una
forma de analizar las métricas de rendimiento del sitio web es mediante el uso de herramientas reales de
monitoreo de usuarios.
6. herramientas de prueba de velocidad del sitio web
Ahora es el momento de sumergirse en todas las diferentes herramientas de prueba de velocidad
del sitio web que puede usar. ¿Cuál es el tiempo de carga óptimo al que debería aspirar? Bueno, cuanto
más rápido mejor, pero la mayoría de los expertos sugieren que alrededor de dos segundos o menos es
un buen objetivo. Recuerda también que hay una diferencia entre rendimiento percibido y el rendimiento
real.
Una de las reglas más importantes cuando se trata de pruebas de velocidad de sitios web es elegir
una herramienta y seguir con ella. Cada uno tiene su propio conjunto de métricas diferentes y, por lo
tanto, no puede comparar directamente los resultados de las pruebas de una herramienta con otra. No
hay una herramienta correcta o incorrecta; simplemente debe centrarse en el que prefiera para ayudarlo
a realizar mejoras.
a) APACHE JMETER
‘Apache JMeter’ es una aplicación de código abierto, 100% basada en Java con una
interfaz gráfica de usuario. Está diseñada para analizar, medir el rendimiento y cargar el
comportamiento funcional de la aplicación web y la variedad de servicios.
(2) ¿Para qué sirve JMeter?
B. InsightVm
1. El distrito escolar de Blue Valley se asocia con Rapid7 para potenciar su nuevo
equipo de seguridad
• Producto: InsightVM , InsightIDR , InsightConnect
• Industria: Educación
• Tamaño: Empresa (Grande)
El Distrito Escolar Unificado Blue Valley en Kansas abarca a más de 23,000 estudiantes y 3,100
miembros del personal y maestros repartidos en cinco escuelas secundarias, nueve escuelas intermedias
y 21 escuelas primarias. El distrito tiene un compromiso de larga data para garantizar el uso de la
tecnología como parte integral del plan de estudios y la instrucción del distrito. Blue Valley Schools es un
distrito habilitado 1:1, lo que significa que, a partir del jardín de infantes, hay un dispositivo disponible
para cada estudiante y, a partir del sexto grado, esos dispositivos van y vienen entre la escuela y el hogar,
un entorno lo suficientemente desafiante como para brindar seguridad. pausa seria profesional.
De igual importancia, las Escuelas de Blue Valley se comprometen a proporcionar entornos de
aprendizaje seguros para los estudiantes. Todos los dispositivos del distrito y las actividades que los
estudiantes realizan en línea están protegidos a través de un sistema de filtrado basado en la nube las 24
horas del día, los 7 días de la semana. Esto significa que los estudiantes pueden aprender en cualquier
momento, en cualquier lugar y siempre experimentar el mismo nivel de seguridad digital cuando usan
dispositivos del distrito, ya sea que estén en el salón de clases, en el autobús o en casa.
a) Los desafios
En agosto de 2019, Blue Valley fue el objetivo de un exitoso ataque de ransomware y,
afortunadamente, después de mitigar el ataque, emprendió de inmediato una evaluación de seguridad
de arriba a abajo de su vasta infraestructura de red y aplicaciones. El ingeniero de ciberseguridad Evan
Nichols fue el primer ingeniero de ciberseguridad de Blue Valley y es el experto residente del
departamento. En este artículo, Evan destaca los principales desafíos de seguridad que enfrenta el distrito
escolar.
(1) Secuestro de datos
Los ataques de ransomware siempre estarán en la parte superior de la lista de amenazas del equipo
de seguridad, señala Nichols. “Nuestras mayores amenazas en curso son los puntos de entrada para el
phishing. La percepción es que los distritos escolares públicos tienen presupuestos reducidos y carecen
de mano de obra y los ciberdelincuentes confían en eso. Nuestro distrito fue atacado en 2019 porque
somos uno de los distritos más grandes del estado y fue solo unos días antes del comienzo de la escuela”.
(2) Visibilidad
“Todo se reduce a poder obtener una vista de 1,000 pies de las cosas con solo un pequeño equipo
de personas para observar lo que estamos introduciendo”, explica Nichols. “El mayor desafío es evitar
cosas como la fatiga por alertas y asegurarnos de que enviamos los datos pertinentes a la administración
del distrito de inmediato”.
(3) dotación de personal
Nichols también reconoce que muchos distritos escolares no pueden hacer el nivel de inversión en
personal y software que se necesita para hacer frente a las demandas del entorno de ciberseguridad
actual. “Muchos entornos públicos K-12 no tienen la mano de obra para hacer lo que se requiere para
ejecutar una pila de seguridad completa. O pueden depender de herramientas de código abierto que
requieren mucha atención; pero eso también requiere horas de personal y experiencia que muchos
distritos escolares no tienen”.
b) Las soluciones
El primer paso de Nichols fue implementar Rapid7 Insight Platform, que incluye InsightIDR para
detección y respuesta, InsightVM para gestión de vulnerabilidades e InsightConnect para automatización.
“Elegí Rapid7 Insight Platform porque tenía el tamaño y la forma adecuados para nosotros”, afirma
Nichols. “Estamos lidiando con cantidades masivas de datos, pero no tenemos muchos cuerpos calientes.
Y no tenemos mucha gente capacitada como analistas o ingenieros de SOC. Necesitamos que la
plataforma Rapid7 haga gran parte del trabajo pesado por nosotros”.
“Comenzamos con la detección, porque no sabes qué más vas a necesitar hasta que evalúas. Y
pudimos ponernos en marcha con Rapid7 InsightIDR en menos de una semana. Fue realmente fácil y
rápido de implementar en nuestro entorno”. Blue Valley también usa InsightVM para escanear los activos
del centro de datos como parte de su objetivo de cambiar a un modelo de confianza cero. "InsightVM nos
dio la capacidad de movernos allí con confianza".
En la actualidad, Blue Valley Schools cuenta con tres profesionales que se capacitan continuamente
en todo lo relacionado con la ciberseguridad, un equipo de seguridad reducido, pero altamente efectivo.
Rapid7 Insight Platform les brinda el panorama general y la visibilidad profunda que necesitan para
supervisar y proteger su entorno desafiante. “Insight Platform es bueno para sacar a la superficie los datos
que queremos ver”, dice Nichols. “No tengo que buscar muy lejos para ver qué está pasando. Esto se debe
a que las búsquedas en InsightDR son muy fáciles de navegar y se adaptan a nuestro entorno. Además, es
fácil guardar y volver a llamar a las consultas”.
“Estamos monitoreando un poco de todo. Las fuentes fundamentales de InsightIDR son una sola
cosa, y eso alimenta los modelos de análisis de detección del comportamiento del usuario que
proporciona InsightIDR. Además de eso, tenemos toneladas de análisis personalizados y fuentes de
eventos de registro que podemos hacer mucho más rápido de lo que podríamos hacerlo con otros
productos. Rapid7 ya realizó gran parte del trabajo inicial porque Rapid7 se preocupa por las mismas
fuentes de seguridad y eventos de TI que nosotros”.
"Rapid7 vino preparado con la respuesta a nuestro problema de mano de obra a través de
InsightConnect", continúa Nichols. "Realmente ayuda con nuestro problema de escasez de mano de obra
porque puede enviar todas sus alertas a un sistema de flujo de trabajo central. Antes era muy difícil para
nosotros para actuar y responder a escala. lnsightConnect nos ha permitido hacer una gran parte de
nuestra respuesta a incidentes de forma automatizada. Y por nosotros, realmente me refiero a mí. Porque
al principio yo era el único que manejaba la respuesta a incidentes".
c) Los beneficios
“Cuando miramos otras soluciones de seguridad en la nube con amplitud y profundidad
comparables, nos habríamos quedado fuera de nuestro presupuesto bastante rápido. Con la plataforma
Rapid7 obtenemos muchas capacidades por el dinero. Las otras plataformas habrían sido demasiado
complejas para que nuestro pequeño equipo las operara a diario. La única otra opción hubiera sido
hacerlo todo nosotros mismos con un software de código abierto. Lo que habría significado una gran
cantidad de almacenamiento y sistemas en las instalaciones, lo que equivale a muchos costos. Y luego hay
que considerar el capital humano para gestionarlo. Ese es un entorno completo que debe supervisar. Esas
son las cosas que nos guiaron en la dirección de InsightIDR y la Plataforma Insight más amplia”.
C. Ravelin
1. Cómo Intruder ayuda a Ravelin a cumplir con los requisitos de cumplimiento y
ganarse la confianza del cliente
a) Sobre la empresa
Ravelin proporciona tecnología sofisticada para ayudar a sus clientes a prevenir el fraude y aceptar
pagos con confianza. La empresa logra esto mediante la inspección de múltiples puntos de datos, incluidos
los datos de pago en tiempo real, importados a través de una API desde los sistemas de sus clientes. [7]
Ravelin se estableció en el Reino Unido en 2014 y desde entonces ha crecido hasta tener más de
cien empleados, ayudando a marcas como Deliveroo, Just Eat y Booking.com a gestionar el fraude de
pagos.
b) Objetivo de seguridad que Ravelin quería lograr
Como empresa que procesa datos de pagos, Ravelin se preocupa especialmente por brindar un
servicio confiable a sus clientes. Dado que la gestión de vulnerabilidades es uno de los componentes
esenciales para lograr una sólida postura de seguridad, Ravelin estaba decidido a encontrar una solución
creíble para realizar controles de seguridad periódicos en sus sistemas orientados a Internet.
Para adherirse a los más altos estándares de seguridad, también necesitaban un escáner de
seguridad que ayudaría a cumplir con los requisitos de cumplimiento de la norma ISO 27001 y brindaría
una cobertura continua entre sus escaneos PCI (industria de tarjetas de pago) regulares.
c) Gestión de vulnerabilidades eficaz y rápida
Antes de probar Intruder, el equipo de seguridad de Ravelin ya tenía experiencia trabajando con
otros escáneres de vulnerabilidades. Intruder se destacó rápidamente como una solución más eficiente y
que ahorra tiempo.
“A diferencia de otros escáneres de seguridad equivalentes, Intruder es fácil de usar y muy fácil de
configurar”.
William, ingeniero de seguridad en Ravelin
Intruder fue diseñado específicamente para priorizar fallas de alto impacto que aumentan la
superficie de ataque externa, lo que ayuda a Ravelin a discernir rápidamente las vulnerabilidades en sus
sistemas perimetrales, sin necesidad de una investigación exhaustiva.
“Utilizamos principalmente Intruder para los análisis externos programados de todos nuestros
dominios públicos. Estos análisis son excelentes para estar atentos a las vulnerabilidades emergentes y
detectarlas antes de que sea demasiado tarde”.
William, ingeniero de seguridad en Ravelin
Además de los análisis de rutina, Ravelin se beneficia de las comprobaciones automáticas de
vulnerabilidades que se realizan cuando se revelan nuevas amenazas. Este enfoque proactivo de la gestión
de vulnerabilidades permite que la empresa reaccione inmediatamente cuando se reciben alertas e
implemente rápidamente medidas preventivas.
d) Cumplir con los requisitos de seguridad del cliente y de terceros
Además de realizar escaneos PCI trimestrales a través de un proveedor de escaneo aprobado (ASV),
Ravelin usa Intruder para probar continuamente sus sistemas y remediar las debilidades descubiertas de
manera oportuna. Intruder utiliza un escáner de vulnerabilidades aprobado por PCI para todos sus
escaneos, lo que le da a Ravelin una comprensión clara de su postura de seguridad en cualquier momento.
Después de cada prueba, Ravelin recibe un informe detallado, que actúa como prueba de
seguridad para sus socios y clientes, además de ayudar a cumplir con los requisitos de cumplimiento de
la norma ISO 27001.
Cuando se trata de la gestión de activos, Ravelin observa continuamente su entorno de TI desde la
perspectiva de un hacker utilizando la vista de red de Intruder. Esta función permite a la empresa rastrear
qué puertos y servicios han cambiado y detectar rápidamente cualquier alteración no deseada en sus
sistemas.
Dado que Ravelin se dedica a ir más allá para proteger sus sistemas, están explorando otros
servicios en la cartera de Intruder, como el agente de escaneo interno.
V. CASOS DE ESTUDIO PROPUESTOS PARA REALIZAR LAS
PRUEBAS DE SEGURIDAD Y PRUEBAS DE RENDIMIENTO
A. Caso de Estudio Unitel
Unitel (abreviado de Universal de Televisión) o también Red Unitel es un canal de televisión abierta
boliviano de programación generalista. Fue lanzado oficialmente en septiembre de 1997 y es propiedad
de la Empresa de Comunicaciones de Oriente Ltda.
Unitel cuenta con su página web donde ofrece contenido similar al de Televisión, por medio de su
pagina web comparte videos gran parte de su programación del día, así también como streaming de
noticias.
En esta ocasión se realizará una serie de pruebas de rendimiento a su pagina web, y observaremos
su comportamiento a lo largo de probar rondas de 3000 solicitudes (Usuarios) por segundo durante un
tiempo de 10 segundos.
Con la herramienta de código abierto JMETER realizaremos pruebas de carga y el rendimiento que
ofrece la página web del Canal de televisión UNITEL.
1. requisitos previos
a) Instalación
• Java 8 ,
• JMeter 3.3 o superior.
b) Comprender las métricas de JMeter
Las métricas de JMeter se utilizan ampliamente en la siguiente sección, por lo que es mejor si se
siente cómodo con su definición:
• Tiempo transcurrido: Mide el tiempo transcurrido desde justo antes de enviar la solicitud
hasta justo después de recibir la última parte de la respuesta.
• Latencia: Mide la latencia desde justo antes de enviar la solicitud hasta justo después de
recibir la primera parte de la respuesta.
• Tiempo de conexión: mide el tiempo que tomó establecer la conexión, incluido el
protocolo de enlace SSL,
• Mediana: Número que divide las muestras en dos mitades iguales,
• Línea del 90 % (percentil 90): El tiempo transcurrido por debajo del cual cae el 90 % de las
muestras,
• Desviación estándar: Medida de la variabilidad de un conjunto de datos. Esta es una
medida estadística estándar.
• Nombre del subproceso: derivado del nombre del grupo de subprocesos y el subproceso
dentro del grupo. El nombre tiene el formato groupName + " " + groupIndex + “-” +
threadIndex donde:
o groupName : nombre del elemento Thread Group,
o groupIndex : número del grupo de subprocesos en el plan de prueba, a partir de
1,
o threadIndex : número del subproceso dentro del grupo de subprocesos,
comenzando desde 1.
• Rendimiento: calculado como solicitudes/unidad de tiempo. El tiempo se calcula desde el
inicio de la primera muestra hasta el final de la última muestra. La fórmula es:
Rendimiento = (número de solicitudes) / (tiempo total).
c) Tablero de informes HTML
El Tablero de informes HTML se puede generar al final de la prueba usando una línea de comando
separada. Este informe es bastante rico y muestra muchas métricas diferentes. Para obtener una lista
completa de todas las configuraciones personalizables, consulte Generación de panel en el sitio web de
JMeter.
Una vez que tenga un JTL que contenga todos los resultados, ejecute:
./bin/jmeter -g JTL_FILE -o OUTPUT_FOLDER
Donde:
-g JTL_FILE: ruta relativa o completa al archivo JTL. Ejemplo: jmeter.jtl,
-o OUTPUT_FOLDER: la carpeta en la que se debe escribir el informe HTML.
La ejecución de la línea de comandos puede demorar un tiempo según el tamaño del archivo JTL.
Una vez terminado, no se debe mostrar ningún error dentro de la terminal. El informe está listo en la
carpeta de salida dada.
Ventajas:
El informe HTML es fácil de generar,
Los gráficos y tablas están bien diseñados,
Puede seleccionar/deseleccionar solicitudes y/o transacciones en cada gráfico.
Contras:
Demasiadas configuraciones de personalización, ¿por dónde empezar?
El informe no se puede personalizar completamente agregando texto, imágenes y más. Es un
informe estático.
Desde JMeter 3.0, HTML Report Dashboard es un gran paso adelante que simplifica el análisis de
resultados de pruebas de JMeter.
El resumen del informe contiene la siguiente información:
Hora de inicio y hora de finalización de la prueba,
Puntuaciones APDEX para cada solicitud y contenedor,
Un gráfico circular denominado Resumen de solicitudes que proporciona la proporción de
muestras exitosas/fallidas.
La tabla de estadísticas proporciona estadísticas de prueba globales para cada solicitud que se ha
ejecutado:
Ejecuciones : Número de aciertos y errores,
# Muestras : Número total de muestras ejecutadas,
KO : número total de muestras que no se pudieron ejecutar,
Errores % : Porcentaje de errores,
Tiempos de respuesta (ms) : tiempos de respuesta en milisegundos,
Promedio : tiempo promedio transcurrido,
Min : Tiempo mínimo transcurrido,
Max : Tiempo máximo transcurrido,
90.º porcentaje : 90.º percentil,
95.º porcentaje : 95.º percentil,
99.º porcentaje : 99.º percentil,
Rendimiento : número de visitas por segundo,
Red : rendimiento en KB/s
Recibido : KB recibidos por segundo,
Enviado : KB enviados por segundo.
Las líneas se pueden ordenar por cualquiera de las estadísticas anteriores, lo que facilita la
búsqueda de solicitudes que causan cuellos de botella. Solicitudes de pedido al disminuir el Promedio ,
debería ver que la solicitud más lenta es la primera en la tabla de estadísticas.
La tabla de errores brinda más detalles sobre los errores encontrados durante la prueba de carga.
Para cada tipo de error, verá:
Número de errores : cuántos errores ocurrieron,
% en errores : porcentaje de solicitudes en error,
% en todas las muestras : Porcentaje de errores en comparación con el número total de muestras.
ay muchos otros gráficos disponibles:
Rendimiento :
Visitas por segundo (excluidos los recursos integrados) : número de visitas por segundo a lo largo
del tiempo,
Códigos por segundo (excluyendo recursos incrustados) : Códigos HTTP por segundo a lo largo del
tiempo (200 OK, 500 Error interno, etc.)
Transacciones por segundo : transacciones (relacionadas con Transaction Controller) por segundo
a lo largo del tiempo,
Tiempo de respuesta frente a solicitud: el tiempo de respuesta en comparación con las solicitudes
por segundo,
Latencia Vs Solicitud : Latencia comparada con solicitudes por segundo,
Tiempos de respuesta :
Percentiles de tiempo de respuesta : tiempo transcurrido por percentil en incrementos del 10 %.
Descripción general del tiempo de respuesta : brinda el porcentaje de solicitudes por rango de
Apdex (satisfactorio, tolerante y frustrante),
Tiempo frente a subprocesos : tiempo transcurrido por subprocesos activos, para ver cómo se
degrada el tiempo transcurrido cuando aumenta la carga,
Distribución del tiempo de respuesta : cómo se distribuye el tiempo transcurrido entre el tiempo
transcurrido mínimo y máximo.
El informe HTML es claramente un buen paso para ponerse al día con algunas herramientas
costosas como LoadRunner o NeoLoad. Claro, podría haber sido mucho más personalizable para
personalizar un informe que se ajuste a sus necesidades. De todos modos, es un gran paso adelante en la
mejora del análisis de los resultados de las pruebas de JMeter en comparación con los oyentes de interfaz
de usuario integrados.
Teniendo en cuenta que JMeter es una herramienta de prueba de carga de código abierto,
disponible de forma gratuita, estoy impresionado de ver cuántas herramientas hay para analizar los
resultados de las pruebas. ¡Y aún no hemos terminado!
VI. RESULTADOS
A. Caso de estudio Página Web de Unitel
1. Test and Report information
B. Caso de estudio – Virtual UAGRM
https://virtual.uagrm.edu.bo/pregrado/login/index.php
Esta es la plataforma de aulas virtuales de la UAGRM para estudiantes de pregrado.
Informe de seguridad
C. Caso de estudio – SoftBenz
Es un Software basado en servicios web para talleres automotrices.
Antes de solucionar el fix de seguridad
Despues de solucionar el fix de seguridad
VII. DISCUSIÓN Y CONCLUSIONES
A. Artículo de reflexión: Martinez Rodriguez Miguel Angel
1 mayo de 2022 – Reg.: 213045559
Las pruebas de vulnerabilidad de Mantener los datos que no son de
aplicaciones web tiene como objetivo identificar confianza separados de los comandos y las
las vulnerabilidades de seguridad resultantes de consultas.
prácticas de desarrollo inseguras en el diseño,
Desarrollar controles sólidos de
codificación y publicación de software o un sitio
autenticación y administración de sesiones.
web.
Mejorar el control de acceso.
Las pruebas de vulnerabilidad de
aplicaciones web generalmente incluirán: Descubrir las rutas más vulnerables a
través de la cual se puede realizar un ataque.
Probar la autenticación de usuario para
comprobar que las cuentas no pueden poner en Hallar cualquier vulnerabilidad que
peligro los datos; pueda conducir al robo de datos confidenciales.
Que comprendí Comprendí sobre las Ahora explicare sobre las pruebas de
pruebas de carga, las pruebas de carga es la ESTRES ,en esta prueba sometemos el producto
cantidad de usuarios que soporta su producto o la aplicación a condiciones extremos donde
durante un lapso de tiempo incrementando veremos qué es lo que pasa con el producto
usuarios cada cierto y observación el ,aquí nos interes saber bastante que tan
comportamiento del servidor, esto sirve para confiable es el producto y que tan robots es ,
saber cuánto debo gastar en un servidor según por que por ejemplo Podemos hacer una prueba
el consume de las peticiones realizadas por los donde ingresen 10, 000 mil usuarios en un
usuarios mismo instante sin intervalo de ingreso o se
realicen 10 mil peticiones al mismo tiempo a un
login , También veremos si el Sistema se
recupera de manera autónoma sin la
intervención de los encargados de la
infraestructura
PRUEBAS DE RENDIMIENTO Y
SEGURIDAD
GRUPO #4
Integrantes
Unit testing
Component testing
Resultados éxitosos Smoke testing
Prueba de las
Prueba en condiciones normales redes,db,servers,firewall
Pruebas de rendimiento
Implicaciones de las pruebas de
rendimiento
Tiempo para
Satisfacción interactuar Velocidad de la
del usuario pagina y tiempo de
Uso de
herramientas carga
métricas Tiempo de
búsqueda de DNS
Utilización del
hardware
Tiempo pico de Tasa de Error
Respuesta
Pruebas de Rendimiento
HERRAMIENTAS
APACHE JMETER
Google PageSpeed Insights GTmetrix
CASOS DE ESTUDIO