UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERÍA

ETHICAL HACKING

Trabajo Parcial

INTEGRANTES

Romero Calixto, Rocío

Silva Apaza, Max

PROFESOR

Flores Solís, Fernando Rolyn

Lima, noviembre de 2023

Contenido
INTRODUCCIÓN...........................................................................................................................3

1. Entorno...................................................................................................................................4

2. Vulnerabilidad.......................................................................................................................4

3. Conclusiones...........................................................................................................................4

4. Recomendaciones...................................................................................................................4

Referencias.....................................................................................................................................5
 INTRODUCCIÓN

El siguiente documento es documento donde explicamos la vulnerabilidad que hemos escogido

por lo cual este trabajo contiene información sobre la empresa a la cual escogimos y damos una
breve reseña de ella. Asimismo, explicamos la vulnerabilidad que hemos escogido detallando de
que trata y cuál es el paso a paso en su prueba. Adicional, también mostramos los resultados de
nuestra prueba de forma detallada y mostrando el impacto que tendría si fuera un ataque
cibernético autentico.
1. Entorno
1.1. Descripción de la organización

LIS PERU es una empresa especializada en soluciones de software para el sector de

transporte.

Busca contribuir con las organizaciones mejorando los procesos de operaciones,

mantenimiento, administración y manejo de información para la toma de decisiones.
Asimismo, Cuenta con el respaldo de una marca mexicana, con más 24 años de experiencia,
más de 1000 clientes en Latinoamérica y más de 30,000 unidades controladas con LIS
SOFTWARE SOLUTIONS.
 Ayudar a las empresas de transporte a ser más productivas y
rentables mediante la integración de las mejores prácticas de
Mi la industria a través de la innovación constante en tecnología
y movilidad para hacer la gestión del transporte cada vez más
sió sencilla.
n
Ser el socio más confiable para Perú de las empresas de
transporte, contribuyendo con experiencia, conocimientos y
Vi constante investigación y desarrollo al crecimiento de la
industria para beneficio de sus colaboradores, clientes y la
si comunidad en general.
ón

1.1. Arquitectura de red

Trabajamos con la Arquitectura Estrella ya que contamos todas las estaciones conectadas
directamente a un punto central. Por lo tanto, como ventaja contamos de que si atacan algún
ordenador así lo desconectemos o aislemos el resto sigue funcionando con normalidad ya que
todos tienen conexiones independientes.

1.2. Plataforma utilizada

 La empresa LIS PERU realiza sus servicios en plataforma web

2. Vulnerabilidad
2.1. Nombre y definición de la vulnerabilidad

En este apartado se muestra la vulnerabilidad seleccionada

Nombre Descripción
CVE-2022-31160 jQuery UI es un conjunto seleccionado de interacciones,
efectos, widgets y temas de interfaz de usuario creados sobre
jQuery. Las versiones anteriores a la 1.13.2 son
potencialmente vulnerables al cross-site scripting.

2.2. Investigación acerca del funcionamiento de la vulnerabilidad

La versión anterior a la 1.13.2 son vulnerables al cross-site scripting(XSS) debido que al

inicializar un widget de Checkboxradio en una entrada encerrada dentro de una etiqueta
hace que el contenido de la etiqueta principal se considere la etiqueta de entrada. Si se
invoca la función checkboxradio(“refresh" ) en un widget de este tipo y el HTML inicial
contiene entidades HTML codificadas, se decodificarán erróneamente. Esto puede llevar a
la ejecución potencial de código JavaScript no autorizado.

Por ejemplo, comenzando con el siguiente HTML seguro inicial:

Luego al realizar la llamada:

El HTML inicial se convertirá en:

 Esta irregularidad abre la posibilidad de ejecutar código JavaScript de manera no
autorizada, lo que podría desencadenar acciones indeseadas como la activación de alertas u
otras operaciones.

2.3. Referencias

Gołębiowski, M. (2022, 15 de julio). XSS when refreshing a checkboxradio with an HTML-

like initial text label. Recuperado de
https://github.com/jquery/jquery-ui/security/advisories/GHSA-h6gj-6jjq-h8g9

2.4. Evaluación CVSS

En este apartado, la evaluación CVSS para la vulnerabilidad CVE-2022-31160 muestra un

nivel medio, con un puntaje general de 6.1, como se muestra en la siguiente Figura 1.

Figura 1

Componentes de la puntuación CVSS

Asimismo, se muestra el detalle de la puntuación base, temporal y ambiental.

 3. Conclusiones
Se concluye que esta vulnerabilidad de acuerdo al puntaje que se tuvo representa una criticidad
de nivel medio.

4. Recomendaciones
Se recomienda que
 Referencias
Cristancho, F. (2022). ¿Qué es Flutter y para qué sirve? Talently | Talently Blog.
https://talently.tech/blog/que-es-flutter/