Presentación de Resultados

de Pruebas pares en el
Proyecto Salud 360
Equipo evaluador:
Aguirre Christian - Líder prueba.
Bonillla Carolina - Diseñadora
Prueba.
Vinueza Jimmy - Tester.

Equipo evaluado:
Andrade Ismael - Líder prueba.
Pavón Johan - Tester.
Molina Anthony - Diseñador prueba.
 Objetivo general
Evaluar el nivel de seguridad y
calidad del back-end y front-end
del proyecto “Salud360
Agendamiento de citas médicas” a
través de la identificación de
vulnerabilidades detectadas en las
pruebas pares realizadas por el
equipo evaluador, para que el
equipo evaluado obtenga un
diagnóstico garantizando así una
mayor seguridad en el proyecto.
 Objetivos específicos
Utilizar Thunder Client para la realización de
peticiones al backend en busca de posibles
errores de seguridad.
Navegar en la interfaz del frontend usando la
navegación por rutas para la verificación de
posibles accesos no autorizados al sistema.
Documentar los resultados con capturas de
pantalla para un control efectivo y un mejor
diagnostico de la seguridad en el proyecto.
 Alcance
El alcance de las pruebas pares se centra en la
evaluación integral de la seguridad del sistema
“Salud360 Agendamiento de Citas Médicas”.
Estas pruebas abordarán tanto el backend
como el frontend, con el propósito de
identificar y rectificar posibles
vulnerabilidades y riesgos asociados con la
gestión de datos sensibles en el contexto del
agendamiento de citas médicas.
 Justificación
Las pruebas pares desempeñan un papel fundamental en
la evaluación integral de la seguridad del proyecto
“Salud360 Agendamiento de Citas Médicas”. Al realizar
un análisis conjunto del backend y frontend, estas
pruebas permiten identificar posibles vulnerabilidades,
garantizando la integridad y confidencialidad de los
datos médicos. La justificación radica en la necesidad de
asegurar un entorno robusto y confiable para los
usuarios, cumplir con estándares de seguridad en salud,
y proporcionar una base sólida para futuras
implementaciones y mejoras en la seguridad del sistema.
 Herramientas
utilizadas
Visual Studio Code para el
entorno de desarrollo.
Thunder Client, una
extensión de Visual Studio
Code, para realizar
peticiones HTTP.
Backend y frontend del
proyecto Salud 360
 Metodología
Método: Evaluación del backend
mediante peticiones en Thunder
Client y frontend mediante la
navegación en la interfaz gráfica
Técnica: Realización de pruebas sin
registro y sin inicio de sesión para
evaluar la seguridad.
Recursos: Backend y frontend del
proyecto, thunder Client,
documentación del proyecto y
registros de peticiones.
 Pasos de la Prueba:
1. Utilizando Thunder Client
se va a realizar peticiónes al
backend del proyecto sin
iniciar sesión para ver si
estan protegidas las
peticiones.
2. Navegación a través de
las rutas del frontend sin
iniciar sesión para la
verificación de accesos no
autorizadas.
 Resultado esperados
Resultado Esperado: Se espera que
el software deniegue los accesos no
autorizados a peticiones y rutas del
sistema, si se puede acceder sin
iniciar sesión a las paginas no
autorizadas significa que no estan
implementando seguridad en las
rutas del proyecto,.
 Resultado reales

Número Total de Pruebas: 20

Errores Identificados: 15
Grado de Calidad del Software
(Seguridad): 15/100

Estos datos sugieren que, de las 20

pruebas realizadas, se identificaron 15
errores que afectan la seguridad del
software.
La puntuación baja en la escala de
calidad indica que hay áreas
significativas que requieren mejoras
en términos de seguridad.
 Interpretación de
datos
1.Fallo en la inserción de roles de seguridad:
Interpretación: La presencia de errores en la inserción de roles compromete la
adecuada gestión de permisos y accesos. Esto indica una vulnerabilidad crítica en la
capa de seguridad del sistema.

2.Falta de tablas para registro de roles y endpoints:

Interpretación: La ausencia de tablas específicas para el registro de roles y endpoints
sugiere una carencia estructural que afecta la trazabilidad y la seguridad en la gestión
de estos elementos.

3.Inseguridad en los endpoints del servidor:

Interpretación: La falta de seguridad en los endpoints del servidor expone la
aplicación a riesgos significativos de accesos no autorizados. Esto podría resultar en
violaciones de privacidad y manipulación de datos.
 Interpretación de
datos
4.Inseguridad en el endpoint GET de Consultory:
Interpretación: La posibilidad de realizar peticiones sin registro o inicio de sesión en
el endpoint GET de Consultory representa un riesgo directo para la privacidad de los
datos del sistema.

5.Inseguridad en el endpoint POST del Método de Pago:

Interpretación: La falta de restricciones en el endpoint POST del Método de Pago
indica un problema de seguridad que podría permitir la manipulación indebida de
datos sensibles, como la inserción de JSON a usuarios no autorizados.

6.Falta de seguridad en el endpoint GET del Método de Pago:

Interpretación: La exposición de datos sensibles sin restricciones en el endpoint GET
del Método de Pago representa un riesgo significativo para la confidencialidad de la
información.
 Interpretación de
datos
7.Registro de Doctores sin restricciones:
Interpretación: La posibilidad de registrar doctores sin autenticación compromete la
integridad de la base de datos y destaca una falta de control de acceso en funciones
críticas.

8.Visualización de la lista de Doctores sin restricciones:

Interpretación: La falta de restricciones para visualizar la lista de doctores expone
información sensible, indicando una carencia en los mecanismos de control de
acceso.

9.Registro de Diagnósticos sin restricciones:

Interpretación: La capacidad de registrar diagnósticos sin autenticación revela una
falta de validación de roles, permitiendo la manipulación indebida de datos médicos.
 Interpretación de
datos
10.Acceso no restringido en el endpoint GET de diagnóstico:
Interpretación: La ausencia de restricciones en el acceso y edición de diagnósticos sin
inicio de sesión compromete la confidencialidad y privacidad de los datos médicos.

11.Acceso no seguro a la ruta del admin-home:

Interpretación: La falta de autenticación para acceder a la ruta del admin-home
expone áreas sensibles de la aplicación, representando una amenaza directa para la
seguridad general.

12.Acceso no autorizado al perfil y notificaciones del doctor:

Interpretación: La posibilidad de acceder al perfil y notificaciones del doctor sin
iniciar sesión indica una falta crítica de restricciones de acceso, comprometiendo la
privacidad y seguridad de la información médica.
 Interpretación de
datos
13.Falta de seguridad en la página de admin-user:
Interpretación: La ausencia de medidas de seguridad en la página de admin-user
permite a cualquier usuario acceder, exponiendo información crítica del sistema a
accesos no autorizados.

14.Acceso no restringido a las rutas de consultorios del administrador:

Interpretación: La falta de control de acceso a las rutas de consultorios del
administrador permite a cualquier usuario acceder a información sensible, lo que
representa un riesgo para la seguridad del sistema.

15.Acceso no restringido a la ruta de exámenes del administrador:

Interpretación: La ausencia de restricciones de acceso a la ruta de exámenes del
administrador compromete la confidencialidad de la información relacionada con los
exámenes médicos.
Conclusiòn
La evaluación destaca
múltiples
vulnerabilidades en la
seguridad del backend y
el frontend.

La implementación de
roles, restricciones de
acceso y validación en
los endpoints es crucial
para mejorar la
seguridad en ambas
capas del software.
Recomendaciones
Corregir la inserción de roles de
seguridad en la base de datos.

Crear tablas dedicadas para el

registro de roles y endpoints
abordando tanto el backend
como el frontend.

Reforzar la seguridad en todos

los endpoints del servidor y del
front, especialmente en
Consultory, Método de Pago,
Registro de Doctores y
Diagnósticos.
thanks