Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Los mejores documentos en venta realizados por estudiantes que han terminado sus estudios
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Descubre las mejores universidades de tu país según los usuarios de Docsity
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Lorem ipsum es el texto que se usa habitualmente en diseño gráfico en demostraciones de tipografías o de borradores de diseño para probar el diseño visual antes de insertar el texto final.
Tipo: Ejercicios
1 / 37
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!
1 Fundación Universitaria Área
Nombre: Óscar Andrés Vizcaino Ortiz Cristian Jacobo Riascos Cortes Oscar Garay Acosta Diego Alexander Galindo Gonzalo JR Varela Castaño Fecha: 27 de noviembre 2022 Profesor: José Alfredo Trejos Motato
2 Fundación Universitaria Área
4 Fundación Universitaria Área desarrollar cualquier tipo de aplicativo, y aún más si esta cuenta con datos dónde está estará expuesta en las plataformas web es precisado entregarse una buena integridad disponibilidad y privacidad en cuanto control y autenticidad de los datos que manejaba en la web. II. MARCO TEÓRICO Analizar vulnerabilidades es de alta importancia no obstante ser apto de estimar el riesgo asociado para la compañía es incluso importante, al comienzo del ciclo de vida se puede identificar problemas de seguridad en la construcción o planificación utilizando modelos de amenazas luego se pueden determinar problemas de seguridad utilizando revisión de desarrollo o pruebas de intrusión los problemas podrían no ser descubiertos hasta que la aplicación esté en elaboración y sea comprometida, se debe enfatizar la severidad que estos errores percuten de forma negativa a la empresa la metodología OWASP adonde esta promueve el uso del desarrollo de software de manera segura y gratuita, orientada a la web mejorando todo clase de seguridad a través de código abierto definiendo modelos básicos de seguridad adonde en esta se analiza el peligro de probabilidad y el impacto determinando la crisis general del peligro, la cual esta propone dos fases de indagan enterarse el funcionamiento del sistema que son la etapa pasiva y la etapa activa identificando los fallos en la parte de ataque diario que estás arriesgando a la web. Además, las Auditorías de Seguridad informática nos permiten entender en el instante de su ejecución cuál es la situación exacta de sus sistema de información en cuanto a protección, control y medidas de seguridad, aprender el alcance de seguridad con el que se cuenta en cuestiones seguridad de su sistema informático (Servidores, Puestos de Trabajo y Red), utilizando toda clase de herramientas y técnicas para buscar cuáles son los problemas a los que su sistema se ha de enfrentar, presentarlos en un informe y decidir las medidas que sería necesario adjudicar para solucionarlos. Teniendo en cuenta la metodología de sus 10 subcategorías planteadas de las pruebas de vulnerabilidad estas se deben tener en cuenta en las pruebas que se van a desarrollar buscando los factores de peligro. Recopilación de información, Pruebas de ajuste de la configuración , Pruebas de la lógica de la adquisición, Pruebas de autenticación, Pruebas de autorización, Pruebas de gestión de sesiones Pruebas de comprobación de datos, Pruebas de negativa de servicio Pruebas de servicios web y Pruebas AJAX, vale el esfuerzo destacar que estas validaciones juegan un papel críticos en la implementación de la seguridad el instante de auditar una aplicación por cada una de ellas, se recogen los instrumentos y agentes que intervienen en esta vulnerabilidad, cómo prevenirla y ejemplos de escenarios de ataques para testear si somos vulnerables mientras otras metodologías recogen pasos genéricos para cualquier auditoría de seguridad OWASP cuenta con diferentes documentos y proyectos enfocados al componente a auditar como hemos observado anteriormente, no es lo mismo auditar la seguridad de una aplicación móvil que de una página web o dispositivo IoT, se revisarán los diez perjuicios más importantes presentes en aplicaciones web
5 Fundación Universitaria Área descritos por OWASP en su informe Top 10 del año 2013. Para verificar estos riesgos se auditarán un identificarán una serie de problemas de seguridad presentes en el aplicativo web, objetivo de la audiencia y se realizarán una serie de recomendaciones para mejorar la seguridad. III. METODOLOGÍA La metodología OWASP plantea dos fases principales: Fase pasiva en la que se indaga entender la lógica de funcionamiento del sistema e identificar las posibles brechas de ataques o vulnerabilidades. Fase activa en la que se realiza un explicación minuciosa e implementación de diferentes pruebas de autorización, sesiones, configuración, lógica del negocio, denegación del servicio, AJAX, reconocimiento y servicios web. La instrumento OWASP ZAP permite ejecutar ataques pentesting (pruebas de penetración) o ataques de intrusión al sistema, con el fin de originar una auditoría de las posibles vulnerabilidades encontradas en el aplicativo web o sistema de información que se esté analizando. Es indiscutible entonces, desde el surgimiento del Internet y la esperanza que nos brinda en mantenernos siempre conectados, conocer como la información y los instrumentos por los que se transmite toman un valor desicivo en la sociedad actual, criticidad que muchas veces pasa desapercibida permitiendo la manifestación de nuevas vulnerabilidades que pueden ser explotadas en acontecimiento de no conocerse, o no solucionarse, poniendo en exposición la pureza de unos de los intereses más valiosos que existen hoy. Las amenazas surgen al momento de la existencia de vulnerabilidades, las cuales pueden ser explotadas por usuarios de gran nivel en conocimientos técnicos los cuales generalmente buscan abusar de estos fallos en los sistemas, impulsados por razones como el vigilancia industrial hasta un simple reto personal o de la comunidad hacktivista; es declarar que un peligro exclusivamente puede proceder si existe una vulnerabilidad que pueda ser aprovechada, y autónomamente de que se comprometa o no la seguridad de un sistema de datos. Para administrar una adecuada planeación de la auditoría es indispensable, continuar una lista de pasos previos que permitirán dimensionar el volumen y características de área interiormente de la empresa a auditar su distribución de sistemas y equipo. Empleando técnicas de Kali Linux para elaborar la respectiva comprobación y auditoría evaluando los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y elaboración de información, la cual es valioso medir las fallas y confirmar el buen desempeño de las aplicaciones que iremos a confirmar ya que este instrumento nos proporciona los controles especializados para que esta revisión sea confiable haciendo esto adecuadamente complicado para alcanzar la información que se necesita para esta auditoría.
7 Fundación Universitaria Área Figura 4. Digitamos la dirección http://asociacionpyme.pe/, a la cual vamos a efectuar el escaneo pasivo de seguridad. Figura 5. Una vez ingresada la dirección, damos click en el botón atacar. Figura 6. El escaneo va mostrando las diferentes vulnerabilidades, en la barra inferior Figura 7. El escaneo nos muestra una bandera roja con alerta de falla por inyección SQL, High Medium Figura 8. Terminado el escaneo procedemos a generar un reporte, en la figura se produjo en la opción HTML, mostrando resultados que se verán más adelante en el archivo Pdf.
8 Fundación Universitaria Área Figura 9. Procedemos a generar el informe en archivo Pdf Informe Zap Scanning Report Figura 10. Encabezado del reporte de escaneo con ZAP, nos muestra un resumen de alertas según clasificación, alta, media y baja. Con base en el ejercicio de ataque realizado con la herramienta ZAP, se pretende revisar los diez riesgos más relevantes descritos en la documentación de OWASP Testing Guide. Es de recomendar al cliente, que el funcionamiento de un ERP requiere del uso de una base de datos y está en este caso se ve comprometida en su seguridad ya que por la baja calidad en la codificación hace que se presenten vulnerabilidades como la descrita en el documento resultante de la auditoría. “Se ha llegado a la conclusión de que los ataques de inyección SQL, son causados en mayor parte por falta de control de los datos que se ingresan en los campos de texto de los formularios en aplicaciones web, logrando insertar código malicioso mediante el uso del lenguaje SQL, alterando de esa manera la estabilidad de la base de datos que recibe el ataque...” Soto, M. A. L., Burgueño, A. M. D., Ramírez, M. I. T., & Garzón, J. F. P. (2018). PROTECCIÓN ANTE ATAQUES DE INYECCIÓN SQL EN APLICACIONES WEB. Revista Digital de Tecnologías Informáticas y Sistemas, 2(1).
10 Fundación Universitaria Área
11 Fundación Universitaria Área
13 Fundación Universitaria Área
14 Fundación Universitaria Área
16 Fundación Universitaria Área
17 Fundación Universitaria Área
19 Fundación Universitaria Área
20 Fundación Universitaria Área
