Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PROCESO DE AUDITORIA
Universitario (a):
Docente:
Fecha: 22/05/2023
Escenario o Caso de Estudio: Resumen del anterior trabajo definiendo el contexto del análisis, las
amenazas, las vulnerabilidades, los activos amenazados
El análisis de riesgos en una auditoría del sistema informático USFX, se identificaron diversas
amenazas, evaluando su impacto y probabilidad. Se destaca la importancia de implementar medidas
de seguridad para protegerse contra estos riesgos, y se priorizan los riesgos críticos, como la falta
implementación de CSP y la exposición de encabezados sensibles.
MATRIZ DE RIESGOS
IMPACTO / PROMEDIO CATASTROFICO
PROBABILIDAD DESPRECIABLE (1) MARGINAL(3) (5) CRITICO (7) (10)
o Objetivos de control asociados a cada riesgo (que efecto del control quiero obtener)
Riesgo Control
Implementar políticas de bloqueo de
cuentas o cuentas de usuario temporales
después de un número determinado de
Ataque de fuerza
intentos fallidos de inicio de sesión para
prevenir o mitigar los ataques de fuerza
bruta.
Inyección sql Aplicar buenas prácticas de codificación y
validación de datos para prevenir la
inyección de código SQL malicioso, como
el uso de consultas parametrizadas o el uso
de marcos ORM (Object-Relational
Mapping) que eviten la concatenación
directa de datos en consultas SQL.
Implementar medidas de seguridad en el
servidor web para ocultar o minimizar la
información que se expone en las
respuestas, como las cabeceras de servidor
Fingerprinting
y otras características que pueden ser
utilizadas por los atacantes para obtener
información sobre la tecnología utilizada en
el sitio web.
Implementar medidas de seguridad para
proteger las credenciales y las sesiones de
los usuarios, como el uso de autenticación
Credential/sesión prediction
multifactor (MFA), el uso de tokens de
sesión seguros y la implementación de
políticas de caducidad de sesiones.
Implementar sistemas de mitigación de
ataques DoS, como firewalls, sistemas de
detección y prevención de intrusiones
(IDPS), balanceadores de carga, límites de
Denial of service
ancho de banda y protección contra ataques
de amplificación, para garantizar la
disponibilidad y el rendimiento del sitio
web.
Implementar mecanismos de autenticación
y verificación de contenido para evitar el
Content spoofing contenido spoofing, como la firma digital o
el uso de hashes para verificar la integridad
del contenido servido.
Aplicar principios de seguridad por diseño
y realizar pruebas de seguridad exhaustivas
para identificar y mitigar cualquier abuso
Abuse of functionality
potencial de la funcionalidad del sitio web,
como la limitación de permisos y el filtrado
adecuado de datos y acciones.
Validar y sanitizar adecuadamente las
entradas de usuario para prevenir ataques
de path traversal, asegurando que los
Path traversal
usuarios solo puedan acceder a los archivos
y recursos permitidos dentro de la
estructura de archivos del sistema.
Implementar validación y filtrado de
entradas de usuario para evitar la inyección
de caracteres nulos en las consultas y
Null byte injection
comandos del sistema, garantizando así la
integridad de los datos y evitando posibles
vulnerabilidades.
o Medidas de Control a evaluar.(controles preventivos y correctivos identificados)
Pruebas de Auditoría
o La evaluación de la conveniencia de los controles establecidos o existentes
Riesgo Evaluacion
Relevancia: Los controles implementados deben
abordar la mitigación de ataques de fuerza bruta,
como la implementación de políticas de bloqueo de
cuentas después de varios intentos fallidos de inicio
de sesión.
Efectividad: Se debe evaluar si los controles son
efectivos para prevenir o mitigar los ataques de
fuerza bruta. Por ejemplo, si se están aplicando
bloqueos temporales o permanentes después de un
número determinado de intentos fallidos y si se
están registrando y monitoreando los intentos de
Ataque de fuerza bruta inicio de sesión.
Eficiencia: Los controles implementados deben ser
eficientes en términos de costo y recursos para la
organización. Deben equilibrar la seguridad con la
usabilidad y no generar una carga excesiva para los
usuarios legítimos.
Actualización: Los controles deben estar
actualizados para abordar las técnicas y
herramientas de ataque de fuerza bruta más
recientes. Se deben realizar actualizaciones
periódicas y ajustes en función de las nuevas
amenazas y vulnerabilidades identificadas.
Ataque DoS Relevancia: Los controles deben estar diseñados
para mitigar los ataques de denegación de servicio
(DoS) y garantizar la disponibilidad del sistema o
servicio. Pueden incluir la implementación de
firewalls, sistemas de detección y prevención de
intrusiones (IDPS), y medidas para limitar el
impacto de tráfico malicioso.
Efectividad: Los controles implementados deben
ser efectivos para detectar, mitigar y responder a
los ataques DoS. Esto puede incluir la capacidad de
identificar patrones de tráfico malicioso, filtrar o
bloquear el tráfico sospechoso, y mantener la
disponibilidad del sistema o servicio.
Eficiencia: Los controles deben ser eficientes en
términos de costo y recursos, evitando el impacto
negativo en el rendimiento del sistema o servicio
legítimo.
Actualización: Los controles deben estar
actualizados para abordar las nuevas técnicas y
herramientas utilizadas en los ataques DoS. Se
deben realizar actualizaciones y ajustes periódicos
en función de las amenazas emergentes.
Relevancia: Los controles implementados deben
abordar la prevención de la inyección SQL y
garantizar la integridad de las consultas y
comandos ejecutados en la base de datos. Esto
puede incluir el uso de consultas parametrizadas o
almacenadas y la validación adecuada de las
entradas de usuario.
Efectividad: Los controles deben ser efectivos para
prevenir o mitigar los ataques de inyección SQL.
Deben evitar que los atacantes inserten código SQL
Inyeccion SQL malicioso en las consultas y comandos, asegurando
así que solo se ejecuten operaciones legítimas.
Eficiencia: Los controles deben ser eficientes en
términos de rendimiento y recursos. No deben
afectar negativamente el rendimiento de las
consultas y transacciones legítimas.
Actualización: Los controles deben mantenerse
actualizados para abordar las nuevas técnicas y
vectores de ataque de inyección SQL. Se deben
aplicar parches y actualizaciones de seguridad
según sea necesario.
Predicción de sesión de credenciales Relevancia: Los controles implementados deben
abordar la mitigación de la predicción de
credenciales y sesiones. Esto puede incluir el uso
de autenticación multifactor (MFA), políticas de
caducidad de sesiones y la implementación de
mecanismos de generación segura de tokens de
sesión.
Efectividad: Los controles deben ser efectivos para
prevenir o detectar la predicción de credenciales y
sesiones. Deben asegurar que los usuarios solo
puedan acceder a sus propias cuentas y que los
tokens de sesión sean seguros y no predecibles.
Eficiencia: Los controles deben ser eficientes en
términos de costo y recursos. No deben generar una
carga excesiva para los usuarios legítimos y deben
ser fáciles de usar y administrar.
Actualización: Los controles deben mantenerse
actualizados para abordar las nuevas técnicas y
vulnerabilidades relacionadas con la predicción de
credenciales y sesiones. Se deben aplicar las
últimas actualizaciones y mejores prácticas de
seguridad.
1. Acutinix
2. Nikto
3. Gobuster
4. Dirb
5. Slowhttptest
o Pruebas de Cumplimiento:
o Pruebas Sustantivas:
Pruebas de
Cumplimiento
Sitio Web :
ecampus.usfx.bo IT
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Verificar
que el
control
se
cumple,
el
mismo
que
bloquea se
la extiendal
cuenta dirb la
al https://ecampus.usfx.bo cantidad Monta
quinto Si cumple la condicion me de ño M.
1 Ataque con Brute Force dirb intento al quinto intento intentos Juan J. link
2 Ataque con brute force gobuster Verificar gobuster dir -u se Monta link
que el https://ecampus.usfx.bo extiendal ño M.
control -w la Juan J.
se
cumple,
el
mismo
que
bloquea
la
cuenta
al /usr/share/wordlists/dirb/ cantidad
quinto common.txt de
intento Si cumple la condicion intentos
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Verificar
que el
control slowhttptest -c 20000 -H -i
de 10 mantener
limite -r 500 -l 600 -u versiones
de https://ecampus.usfx.bo mas
sesiones Se logro interrumpir o actualizad Monta
se cortar por momentos el as del ño M.
1 simulacro de ataque DoS slowhttptest cumple servicio servidor Juan J. link
Pruebas
Sustantivas
Riesgo / Vulnerabilidad: inyeccion sql Peligrosidad 49
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
El escáner ha descubierto Se
una o más recomien
vulnerabilidades de tipo da
Evaluar de gravedad baja: Login implemen
si las page password-guessing tar algún
políticas attack tipo de
de bloqueo
contrase de cuenta
ñas después Sanch
1 Weak Passwords Acunetix establec de un ez C. Link
idas se número Pablo
aplican definido
correcta de
mente intentos
en la de
práctica contraseñ
a
incorrect
a.
Pruebas
Sustantivas
Sitio Web : www.usfx.bo
Riesgo / Vulnerabilidad: Fuerza Bruta Peligrosidad 70
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
ver
reaccion
del
servidor dirb Monta
ante el https://ecampus.usfx.bo ño M.
1 Ataque con Brute Force dirb ataque Si cumple la condicion Juan J. link
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
slowhttptest -c 20000 -H -i
10
ver si se -r 500 -l 600 -u
puede https://www.usfx.bo/
hacer Se logro interrumpir o Monta
caer el cortar por momentos el ño M.
1 DoS slowhttptest servicio servicio Juan J. link
2
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Ver si se
puede
inyectar López
codigo Todos los parámetros M.
malicios probados no parecen ser Herná
1 Inyeccion sql sqlmap o inyectables. n P. link
Pruebas
Sustantivas
Sitio Web : si2.usfx.bo
Sitio Web : si.usfx.bo
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
ver
reaccion
del recortar
servidor dirb intentos Monta
ante el https://ecampus.usfx.bo antes del ño M.
1 Ataque con Brute Force dirb ataque Si cumple la condicion bloqueo Juan J. link
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
slowhttptest -c 20000 -H -i
ver si se
10 -r 500 -l 600 -u
puede
https://si2.usfx.bo/
hacer
Se logro interrumpir o Monta
caer el
cortar por momentos el ño M.
servicio
1 DoS slowhttptest servicio Juan J. link
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Riesgo / Vulnerabilidad:
Fingerprinting Peligrosidad 15
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
ver
reaccion
del
servidor dirb Monta
ante el https://ecampus.usfx.bo ño M.
1 Ataque con Brute Force dirb ataque Si cumple la condicion Juan J. link
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
slowhttptest -c 20000 -H -i
ver si se
10 -r 500 -l 600 -u
puede
https://si.usfx.bo/
hacer link
Se logro interrumpir o Monta
caer el
cortar por momentos el ño M.
servicio
1 DoS slowhttptest servicio Juan J.
Riesgo / Vulnerabilidad:
Fingerprinting Peligrosidad 15
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Sitio Web :
www.posfatec.usfx.bo
Riesgo / Vulnerabilidad: Fuerza Bruta Peligrosidad 70
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
1 Ataque Scripting Acunetix: Scripting Identific Cross-site Scripting (XSS) Aplicar Sanch Link
se refiere al ataque de codificaci
inyección de código del ón y/o
lado del cliente en el que validación
un atacante puede dependie
ación de ejecutar scripts maliciosos nte del
posibles en un sitio web o contexto
puntos aplicación web legítimos. a la ez C.
(XSS.script) (XSS.script)
de XSS ocurre cuando una entrada Pablo
inyecció web del
n La aplicación hace uso de usuario
entradas de usuario no represent
validadas o no codificadas ada en
dentro de la salida que una
genera. página
2 Ataque Scripting Acunetix: Scripting Identific Esta aplicación web es Deshabilit Sanch Link
(XSS.script) (XSS.script) ación de potencialmente ar la ez C.
posibles vulnerable al ataque compresi Pablo
puntos BREACH. ón HTTP
de Un atacante con la Separació
inyecció capacidad de: n de
n Inyectar texto sin formato secretos
parcial elegido en las de la
solicitudes de una víctima entrada
Medir el tamaño del del
tráfico cifrado usuario
puede aprovechar la Aleatoriza
información filtrada por la ción de
compresión para secretos
recuperar partes por
específicas del texto sin solicitud
formato. Enmascar
amiento
de
secretos
(aleatoriz
ación
efectiva
mediante
XORing
con un
secreto
aleatorio
por
solicitud)
Protecció
n de
páginas
vulnerabl
es con
CSRF
Ocultació
n de
longitud
(agregand
o un
número
aleatorio
de bytes
a las
respuesta
s)
Criterio
de Link
Auditori Recomen Respo Info
ID Nombre Prueba Herramienta a Resumen Resultado dación nsable rme
Una Se
amenaz recomien
a común da
a la que implemen
Esta página de inicio de
se tar algún
sesión no tiene ninguna
enfrenta tipo de
protección contra ataques
n los bloqueo
de adivinación de
desarrol de cuenta
contraseñas (fuerza bruta
ladores después
ataques). Se recomienda
web es de un
implementar algún tipo de
un número
brute-force attack para Acunetix: Scripting bloqueo de cuenta Sanch
ataque definido
1 Login page password- (Html_Authenticati después de un número ez C. Link
de de
guessing on_Audit.script) definido de Pablo
adivinac errores
intentos de contraseña
ión de intentos
incorrectos. Consulte las
contrase de
referencias web para
ñas contraseñ
obtener más información
conocid a
sobre cómo solucionar
o como
este problema.
ataque
problema
de
fuerza
bruta.
ataque.
Hallazgos.
N Recomendacione
° Condicion Criterio Causa Efecto s
Se espera
un
bloque de
de
se recomienda
IP luego de
Intentos incapacidad de aumentar el
un Perdida de
continuos de ingresar a las numero de
número contraseña,
ingreso plataformas intentos
determinad perdida de
con de manera disponibles
o nombre de
contraseña de manera a 7-9 y reducir
de intentos, usuario
erronea comoda el tiempo de
banea a 3 dias
conforme la
utilizacion
1 del sitio
falta de
Mantén tus
acutalizacion
sistemas
de parches,
Execivo Se espera y dispositivos
mala caidas de las
trafico de que el actualizados con
configuracion paginas, en
solucitud servicio los últimos parches
de servidor, momentos
de ingresos a no sea
mala desarfortunados
la plataforma afectado de seguridad.
planificacion
Limitar el tráfico:
de limite de
Filtrar paquetes
2 trafico
Elimine o restrinja
puede un usuario el acceso a todos
Se encontro
exponer El acceso a este tipos de archivos no malintencionado a los archivos de
archivos de
información fue restringido correctamente preparar información más configuración
configuracion
confidencial avanzada para ataques accesibles desde
3 Internet.
Aplicar
Los puntos codificación y/o
de inyeccion validación
pueden La aplicación hace uso de Se perderia el principio de
Existen dependiente del
usarse para entradas de usuario no validadas autenticidad por la possible
puntos de inyecctar manipulacion del codigo
contexto a la
o no codificadas dentro de la
inyeccion codigo del Fuente por atacantes entrada del
salida que genera
lado del usuario
cliente representada en
4 una página
Se ha encontrado una Actualice a la
Los ataques vulnerabilidad de denegación de última versión de
servicio en la forma en que se Apache HTTP
Vulnerabilida DoS atentan
contra el superponen varios rangos. Si es aprovechada esta Server (2.2.20 o
d de
principio de manejado por el servidor Apache vulnerabilidad podria existir posterior),
denegacion no una interrupcion del servicio disponible en
HTTPD:
de servicio disponibilida http://seclists.org/fulldisclosure/2 Apache Sitio web
d
011/Aug/175 del proyecto de
5 servidor HTTP.
Un atacante Este directorio puede exponer
Posibles Este directorio puede
podria usar el información confidencial que Restrinja el acceso
exponer información
directorios tener acceso
podría ayudar a un usuario confidencial que podría a este directorio o
sensibles a direcctorios
ayudar a un usuario
para hacer malintencionado a preparar elimínelo del sitio
(ecampus) malintencionado a preparar
daño ataques más avanzados. web.
6 ataques más avanzados.
Parece que el código fuente de
este script está disponible. Esta Un atacante puede recopilar
comprobación utiliza la información confidencial
(cadenas de conexión de la Elimine este
Divulgación coincidencia de patrones para
Tarjet: base de datos, lógica de la archivo de su sitio
del código si2.usfx.bo
determinar si se encuentran aplicación) analizando el web o cambie sus
Fuente (si2) etiquetas del lado del servidor en código fuente. Esta permisos para
el archivo. En algunos casos esta información se puede utilizar eliminar el acceso.
alerta puede generar falsos para realizar más ataques.
7 positivos.
Deshabilitar la
compresión HTTP
Separación de
secretos de la
entrada del
usuario
Aleatorización de
secretos por
solicitud
Enmascaramiento
de secretos
(aleatorización
efectiva mediante
XORing con un
secreto aleatorio
por solicitud)
Protección de
páginas
vulnerables con
CSRF
Ocultación de
longitud
(agregando un
número aleatorio
de bytes a las
respuestas)
Tasa de limitación
de las solicitudes
Verifique si este
formulario
requiere
protección anti-
CSRF e
La falsificación de solicitud entre implemente
sitios (CSRF o XSRF) es una Un atacante podría usar
contramedidas
vulnerabilidad en la que un atacante CSRF para engañar a una CSRF si es
Formulario engaña a una víctima para que víctima para que acceda a un necesario.
Tarjet:
realice una solicitud que la víctima sitio web alojado por el
HTML sin posfatec.usfx
no tenía la intención de realizar. Por atacante o haga clic en una La técnica
protección .bo
lo tanto, con CSRF, un atacante URL que contenga recomendada y
CSRF abusa de la confianza que una solicitudes maliciosas o no más utilizada para
aplicación web tiene con el autorizadas.
prevenir ataques
navegador de la víctima.
CSRF se conoce
como token anti-
CSRF, también
conocido como
token
13 sincronizador.
Se encontró un archivo de
configuración (por ejemplo,
Vagrantfile, Gemfile, Rakefile, ...) en Elimine o restrinja
este directorio. Este archivo puede el acceso a todos
Archivo de Estos archivos pueden
Tarjet: exponer información confidencial
revelar información los archivos de
configuración posfatec.usfx que podría ayudar a un usuario confidencial. Esta configuración
de desarrollo .bo malintencionado a preparar ataques información se puede utilizar accesibles desde
más avanzados. Se recomienda para lanzar más ataques.
eliminar o restringir el acceso a este Internet.
tipo de archivos de los sistemas de
14 producción.
Aspectos Positivos
No se tiene acceso a funciones no correspondientes a nuestro cargo y no se puede acceder a estas o saltarse paso
para ello.
Recomendaciones
Se debe de realizar una actualización de las versiones de parches de seguridad de manera más
eficiente y rápida
Dar o proveer menor información de los sistemas y herramientas con las que se cuenta de la que
actualmente se da
Anexos
Fruto de todas estas actividades, se debe llegar a una tabla completa de este tipo :
datos, implementación
de
parámetros de consulta
Inyección
2 7 7 seguros, utilización de 49
SQL
librerías de acceso a
inyectar codigo bases
malicioso para de datos que eviten la
manipular la concatenación de
base de datos cadena
Utilización de
herramientas
de seguridad para
proteger
los metadatos de la
aplicación web,
Fingerprinti tecnica que se utiliza configuración de
3 5 5 25
ng para identificar, seguridad
recopilar y analizar adecuada para el
inforamcion de un servidor
sistema para posteriores web y utilización de
ataques versiones actualizadas
de acuerdo a la de
informacion obtenida software.
implementación de
medidas de
protección
Implementación de
adecuadas para las
políticas de seguridad de
credencialesde
usuario, y
Credential/ contraseñas adecuadas,
realización de
4 Session 5 7 utilización de 35
tecnica utilizada para pruebas de
Prediction mecanismos
ingresar a la sesion de penetración para
de autenticación y
usuario detectar
autorización sólidos,
utilizando informacion y corregir
previa de contraseña o vulnerabilidad
usar es en la aplicación
patrones de esta web.
Configuración adecuada
DoS es un ataque al de
Denial of servidor con solicitudes firewalls y enrutadores, Limitar tráfico y
5 10 5 50
Service falsas o software de detección filtrar paquetes
excesivos impidiendo el de
acceso al servidor ataques
Los controles para
mitigar
esta amenaza incluyen la
la validación de entrada
Abuse of Es el uso de usuario. Además, Baneo de la cuenta y
7 Functionalit malintencionado de la 3 7 se deben monitorear las los IPs asociados a 21
y aplicacion web actividades sospechosas esta
intentando realizar o pruebas de
aprovecharse del mismo penetración regulares
Los controles para
mitigar
esta amenaza incluyen la
Path
8 Explota una 5 10 validación y filtrado de 50
Traversal.
vulnerabilidad del sitio entrada de usuario, la
web para lograr limitación de los
acceder a archivos a permisos
carpetas delicadas de archivo y directorio,
10 Null Byte Es la inyeccion de 5 7 validación de entrada, 35
caracteres nulos en somatización de
bases de datos entrada, codificación
Injection
que no pueden manejrla adecuada, control de
de manera adecuada acceso
MATRIZ DE
RIESGOS
R4 Credential/
Session R7 Abuse of
R2 Inyección SQL Prediction Functionality
R5 Denial of R8 Path
Service Traversal.