• Author / Uploaded
• Alexander Padilla Sanchez

Citation preview

08-06-2020

Contenido Auditoría de Seguridad Objetivo Objetivos específicos

Seguridad en Bases de Datos

3 3

Resumen

4

Abstract

4

Análisis de aplicativo

6

Introducción al análisis

6

Metodología

6

Resultados

6

Discusión

7

Conclusiones

8

Referencias

9

PRESENTADO POR: Alexander Ló pez Salazar Angela Medrano Miguel Pereira Edwin Guzmá n Alexander Padilla Sá nchez

Ingeniería de Sistemas

pág. 2

Objetivo Realizar la auditoría de seguridad de un sistema de información web utilizando la metodología OWASP y presentarla en un artículo científico.

Objetivos específicos Implementación de la metodología OWASP como base para llevar a cabo la auditoría de un sistema de información basado en web. ● Aplicar en forma práctica los conceptos, lineamientos y normas existentes para escribir un artículo científico de calidad. ● Llevar a cabo las pruebas o procedimientos establecidos en la metodología OWASP y se pueda auditar eficazmente la seguridad de la aplicación web y sus correspondientes motores de bases de datos. ●

Aplicar las pruebas de la metodología OWASP de seguridad de aplicaciones web y analizar los resultados de estas para determinar el nivel de seguridad de https://chamilo.lopezsalexander.com/index.php

● Determinar los controles de acuerdo con los resultados de las pruebas de la metodología OWASP que permitan disminuir el impacto de las vulnerabilidades y mejorar la seguridad de https://chamilo.lopezsalexander.com/index.php ● Elaborar un informe sobre el resultado de las pruebas realizadas, nivel de seguridad identificado y los controles propuestos de acuerdo con los resultados de las pruebas de la metodología OWASP de https://chamilo.lopezsalexander.com/index.php

pág. 3

Resumen El presente taller busca evidenciar en forma práctica la implementación de la metodología OWASP como base para llevar a cabo la auditoría de un sistema de información basado en web, de tal forma que el estudiante lleve a cabo las pruebas o procedimientos establecidos en dicha metodología y se pueda auditar eficazmente la seguridad de la aplicación web y sus correspondientes motores de bases de datos. Como resultado de ese proceso, también se busca que el estudiante aplique en forma práctica los conceptos, lineamientos y normas existentes para escribir un artículo científico de alta calidad, en el que se condensen los resultados de dicho proceso de auditoría. La metodología OSWASP plantea dos fases principales: la fase pasiva en la que se busca comprender la lógica de funcionamiento del sistema e identificar posibles túneles de ataques o vulnerabilidades, y la fase activa en la que se realiza un análisis minucioso e implementación de diferentes pruebas de autorización, sesiones, configuración, lógica del negocio, denegación del servicio, AJAX, validación y servicios web. Realizaremos la auditoría de seguridad de un sistema de información web utilizando la metodología OWASP. La herramienta OWASP ZAP es utilizada para el análisis web la cual tiene una asombrosa versatilidad y características que pueden resultar de gran ayuda al momento de realizar una auditoría. PALABRAS CLAVES: OWASP, auditoría, vulnerabilidad, seguridad, WEB, TIC

Abstract This workshop seeks to demonstrate in a practical way the implementation of the OWASP methodology as the basis to carry out the audit of a web-based information system, in such a way that the student carries out the tests or procedures established in said methodology and you can effectively audit the security of the web application and its corresponding database engines. As a result of this process, it is also sought that the student apply in a practical way the existing concepts, guidelines and norms to write a high quality scientific article, in which the results of said audit process are condensed. The OSWASP methodology has two main phases: the passive phase in which it seeks to understand the operating logic of the system and identify possible attack tunnels or vulnerabilities, and the active phase in which a thorough analysis and implementation of different tests are carried out. authorization, sessions, configuration, business logic, denial of service, AJAX, validation and web services. We will carry out the security audit of a web information system using the OWASP methodology. pág. 4

The OWASP ZAP tool is used for web analysis which has amazing versatility and features that can be of great help when conducting an audit. KEYBOARD: OWASP, audit, vulnerability, security, WEB, TIC

pág. 5

Análisis de aplicativo Aplicativo web: Chamilo LMS 1.11.10 URL: https://chamilo.lopezsalexander.com

Introducción al análisis Las aplicaciones basadas en web cada vez son más llamativas para los ciberdelincuentes por las vulnerabilidades o defectos no identificados por los programadores, en su mayoría por el desconocimiento adecuado en seguridad de datos y por las malas prácticas de no hacer un uso continuo de las distintas herramientas para testear aplicaciones e identificar posibles vulnerabilidades. Las consecuencias que acarrea una deficiencia en seguridad son nefastas para las organizaciones: se pierden recursos, credibilidad, clientes, información valiosa; responsabilidades jurídicas y pérdida de clientes, entre otras. Esto permite reflexionar en torno a la pregunta: ¿de qué manera se podría realizar un análisis de vulnerabilidades en sistemas informáticos basados en web y posterior divulgación de resultados? Es necesario que las organizaciones o el personal encargado del área de seguridad de datos planee e implemente planes de acción enfocados a fortalecer la seguridad de las aplicaciones web, tomando como punto de partida un análisis crítico de dichos sistemas para que posteriormente se documente el proceso realizado y se den a conocer los resultados obtenidos. Realizaremos la auditoría seguridad de un sistema información web utilizando metodología OWASP.

de de la

La herramienta OWASP ZAP es utilizada para el análisis web la cual tiene una asombrosa versatilidad y características que pueden resultar de gran ayuda al momento de realizar una auditoría.

Metodología La metodología del proyecto busca aplicar los procesos de análisis y pruebas de la metodología de pentesting OWASP (Open Web Application Security Project) para determinar el nivel de seguridad que posee https://chamilo.lopezsalexander.com , metodologías más famosas por ser gratuita y abierta, OWASP (Open Web Application Security Project) siendo un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que una aplicación web sea insegura.

Resultados La importancia radica en el aumento de la confiabilidad al usar la aplicación por parte de los usuarios y da a la empresa una garantía de que el servicio prestado va a tener la disponibilidad requerida por parte del consumidor; tanto usuario como empresa verán reflejado en sus bolsillos que la aplicación sea auditada y se corrijan los errores a tiempo. Los beneficios que puede traer a la empresa la aplicación de este proyecto son: • Identificar las amenazas potenciales que tiene el sistema https://chamilo.lopezsalexander.com/in dex.php

pág. 6

• Conocer los niéveles de seguridad que presenta el sistema https://chamilo.lopezsalexander.com/in dex.php • Tener una base de las medidas que se deben tomar para poder quitar o disminuir los baches de seguridad de la página web. • Tomar medidas efectivas que disminuyan la pérdida de recursos de la misma página.

Discusión Toda aplicación o servicio web que disponga de altos niveles de seguridad

es un elemento clave y diferenciador en el nivel de generar confianza y valor agregado de la empresa para todos sus clientes. De esta forma, el aumento en el uso de las TICS exige que dichos sistemas se adapten a las nuevas tendencias y con ellas mejoras en su seguridad. Los recursos informáticos con los que cuentan las empresas deben tener un nivel de seguridad aceptable que de un respaldo frente los problemas que surgen cada día en términos de seguridad informática; una aplicación o un sitio web que cuente con la seguridad apropiada es un elemento de confianza y genera valor para la empresa.

pág. 7

Conclusiones La aplicación del manual de pruebas OWASP se completó con un informe final para dar a conocer los hallazgos a las partes interesadas; en el caso de https://chamilo.lopezsalexander.com/index.php se presentan informes que dan a conocer las partes que se ven expuestas a ataques, pruebas aplicadas en el sistema y criticidad de las fallas encontradas. El informe es la mejor forma de presentar los problemas de una manera formal para que el administrador o personas involucradas puedan tomar acciones correctivas en la menor brevedad posible. La metodología OSWASP plantea dos fases principales: la fase pasiva en la que se busca comprender la lógica de funcionamiento del sistema e identificar posibles túneles de ataques o vulnerabilidades, y la fase activa en la que se realiza un análisis minucioso e implementación de diferentes pruebas de autorización, sesiones, configuración, lógica del negocio, denegación del servicio, AJAX, validación y servicios web. La herramienta OWASP ZAP permite realizar ataques pentesting o ataques de penetración al sistema, con el fin de generar una auditoría de las posibles vulnerabilidades encontradas en la aplicación web o sistema de información que se esté analizando. Fue elaborado el informe ejecutivo y técnico como resultado del análisis del sitio web https://chamilo.lopezsalexander.com/index.php con el cual se logró especificar las vulnerabilidades de seguridad mediante el análisis de resultados de las pruebas de pentesting aplicadas en base a la metodología OWASP.

pág. 8

Referencias OWASP Foundation, Inc. (2020, April 21). Web security testing guide v4.1 (E. Saad, R. Mitchell, & M. Meucci (eds.)). OWASP | Open Web Application Security Project; OWASP Foundation, Inc. https://owasp.org/www-project-web-security-testingguide/stable/ https://owasp.org/www-pdf-archive/Introduccion_a_la_OWASP.pdf https://es.wikipedia.org/wiki/Open_Web_Application_Security_Project León Socha, F. (2020). Iniciar sesión en Canvas. Areandina.Instructure.Com. https://areandina.instructure.com/ Fuente: Shutterstock/597024146. Moruno Cadima, J. (n.d.). Snifer@L4b’s. Sniferl4bs. https://www.sniferl4bs.com http://www.hh-server.com/archivos/documentos/owasp-zed-attack-proxy-guide.pdf. ‌ ‌

pág. 9