Академический Документы
Профессиональный Документы
Культура Документы
RONALDI RANGEL
SERVICIO AUTONOMO DE REGISTRO Y NOTARIAS (SAREN)
Dirección del Sistema Notarial
FECHA: 02/12/15
Maestría en:
Gerencia de la Tecnología de la Información
Cátedra:
Auditoria de Sistemas
Prof. Ing. Carlos Patiño
10
Resumen
Las aplicaciones web con frecuencia resultan ser el punto de entrada más débil
a una red corporativa. Generalmente el acceso a las mismas debe ser público y
estar disponible desde cualquier parte del mundo, 24 horas al día, los 365 días
del año. Si la aplicación web no es segura, entonces toda la información sensible
está en grave peligro. Asegurar las aplicaciones web es crítico y no es una tarea
fácil, debido a la inmensa cantidad de vulnerabilidades y amenazas a las que
están expuestas. Para las aplicaciones web existen vulnerabilidades en la red, el
sistema operativo, servidores que las contienen, e incluso en las mismas
aplicaciones web. Un atacante puede aprovechar estas vulnerabilidades y
cometer ataques, con el fin de obtener información confidencial, conseguir
accesos no autorizados o simplemente causar algún daño. Sin embargo existen
técnicas, herramientas y buenas prácticas de auditoría en aplicaciones web
donde se propone metodologías bien definidos, que pueden ayudar a proteger
las aplicaciones web de estas vulnerabilidades
10
Agradecimientos
10
INDICE
Resumen………………………………………………………………………………...2
Agradecimientos………………………………………………………………………...3
Introducción……………………………………………………………………………...5
Capítulo I
1. Auditoria de
Sistemas…………………………………………………………..6
1.1 Perfil del auditor de sistemas………………………………………………6
1.2 Aspecto a considerar como auditor de sistemas………………………...6
1.3 Tipos de auditoría de sistemas…………………………………………….7
1.4 Principales aéreas de la auditoria de sistemas…………………………. 7
Capítulo II
10
2.3.7 Análisis de Contenidos y Sitio
Web………………………………...12
2.3.8 Automatización de
Contenidos……………………………………..13
2.3.9 Redes Sociales (Social Media)…………………………………..…
13
2.4 Auditoria web completa………………………………………………….14
2.5 Ataque destinados en Aplicaciones Web………………………………15
2.5.1 Test de caja negra……………………………………………………..16
2.5.2 Test de caja blanca……………………………………………………18
2.5.3 Test de caja gris……………………………………………………..…19
Capítulo III
Conclusiones………………………………………………………………….……...31
10
INTRODUCCIÓN
10
Partiendo de un ejemplo de la solicitud de una pequeña empresa,
dedicada a la creación de páginas web, para revisar la seguridad de uno de sus
servidores, en el que aloja tres de sus aplicaciones web, a través de una
auditoría web externa. Resolveremos la auditoría solicitada tomando como base
las metodologías abiertas existentes más conocidas, como OWASP y OSSTMM
que explicaremos más adelante, cuyo uso está muy extendido entre la
comunidad técnica dedicada a la seguridad.
CAPITULO I
1. AUDITORIA DE SISTEMAS
10
Conocimiento Gral. De gestión de empresas-
Conocimientos específicos
Desarrollo de sistemas
Gestión de TI
Análisis de riesgo de TI
Telecomunicaciones y redes
Base de datos
Seguridad física aplicada a centro de procesamiento de datos
Seguridad lógica
Mejores prácticas de continuidad de sistemas
E-Commerce
10
Auditoria de la Explotación
Auditoria de Bases De Datos
Auditoria de la Seguridad
Auditoria de Redes
Auditoria de Internet
Auditoria de Aplicaciones
Auditoria de la Videovigilancia
CAPITULO II
El principal objetivo en qué consiste una auditoría Web es dar a conocer los
errores que están generando nuestra web, el estado de la página que se está
verificando, dando como resultado una serie de reportes que ayudarán al
webmaster o al propietario a comprender varias áreas del sitio como son la
seguridad, la usabilidad, contenido, calidad y la forma en la que se deben de
realizar las mejoras.etc.
a. Usabilidad.
10
Con esto nos referimos a la facilidad con la que los usuarios navegan en el sitio
web, se incluyen áreas como:
Enlaces rotos
Calidad de los contenidos
Percepción del usuario
Claridad en la navegación
b. Optimización
c. Seguridad
10
Información encriptada
Los estados de respuesta del Servidor
La utilización de Captcha en el sitio
Inyecciones LDAP
Aquí tienes una selección de las mejores herramientas que te facilitarán esta
tarea.
Construir una buena lista de Frases Clave es una de las actividades más
importantes del Posicionamiento SEO, y que determinará en gran medida el
éxito o el fracaso de tus esfuerzos.
Aquí tienes una selección de las mejores herramientas que te facilitarán esta
tarea.
10
Übersuggest
Aquí tienes una selección de las mejores herramientas que te facilitarán esta
tarea.
GTmetrix
Webpagetest
Pingdom
Google PageSpeed Insights
Con esta información te será mucho más fácil optimizar tu web y hacerla lo más
útil posible a tus visitantes, lo que te ayudará en el posicionamiento y las
conversiones
Aquí tienes una selección de las mejores herramientas que te facilitarán esta
tarea.
Google Analytics
10
Yandex Metrika
El análisis del perfil de los enlaces es muy importante para asegurarte de que no
corres riesgo de ser penalizado, y también para saber qué está haciendo tu
competencia y poder adaptar tu estrategia.
Hace unos años no existían herramientas fiables para poder realizar un estudio
a fondo de los enlaces de una web, por suerte ahora contamos con opciones
muy potentes.
Aquí tienes una selección de las mejores herramientas que te facilitarán esta
tarea.
Ahrefs
Majestic
SEO SpyGlass
Open Site Explorer
SEMRUSH
Es importante que te asegures de que todas las páginas de tu sitio web disfrutan
de “buena salud”, que no tengan errores y que sus contenidos estén lo más
optimizados posibles.
10
Website Auditor
Rank Tracker
SERPWoo
Estas herramientas son unas de las mejores para ayudarte en esta tarea.
A estas alturas a nadie se le escapa que las Redes Sociales juegan un papel
cada vez más importante en el Posicionamiento Web, tanto directa como
indirectamente.
10
El inconveniente es que gestionar tus actividades de Social Media es complicado
y te roba mucho tiempo. Por suerte existen herramientas que te ayudarán en
esta tarea, aquí tienes las que recomiendo.
Bufferapp
Hootsuite
Social Bro
BuzzBundle
Además del SEO puede integrarse como un parte, pero una auditoria
web, incluye mucho más, además del SEO, como es:
10
Con estos puntos fundamentales, y el SEO, se elabora un completo informe
sobre un sitio web, pero si es necesario puede incluir un informe sobre estrategia
de marketing, e incluso un informe contable sobre los gastos y costes del sitio
web.
Este informe lo puede realizar una sola persona, pero también se puede hacer
en equipo, el cual están integrados programadores, administradores de
servidores, SEO, diseñadores gráficos, comunity managers, expertos en
marketing y si es necesario, contables.
Una auditoria web, no tiene que ser para un sitio ajeno, podemos realizar una
auditoría web de nuestros sitios web, pero tener un completo informe sobre
nuestros sitios, y de esta forma no pierdes datos importantes, sobre todo de lo
relacionado con el SEO.
Las páginas web dado su carácter público son un foco perfecto para los
atacantes. Basados en varios aspectos técnicos del sitio, determinan de qué
forma pueden obtener el control parcial o total de este y utilizarlo para sus
propósitos.
10
La auditoría controla la seguridad de todas las aplicaciones web de un
entorno corporativo:
Hoy en día gran parte de los entornos webs corporativos ofrecen una
importante interacción con el usuario a través de aplicaciones. De este modo, las
antiguas páginas web tipo tarjeta de presentación han derivado, por ejemplo; en
aplicaciones donde el usuario puede realizar consultas de información sobre una
base datos, compras a través de catálogos, así como un largo etcétera de
utilidades.
10
Los tests de intrusión se puede realizar de tres maneras:
Este test imita lo que un verdadero hacker haría, y proporciona al cliente una
evaluación realista del nivel de riesgo al que está expuesto el sistema. Si el
auditor puede identificar alguna vulnerabilidad a través de este test es probable
que un hacker también pueda identificarla.
Pros:
Contras:
10
3. Ataque simulado completo.
Antes del test de caja blanca los auditores se proveen de toda la información
necesaria para evaluar mejor la seguridad del entorno sometido a prueba,
incluyendo el código fuente, archivos de configuración, documentación,
diagramas, etc. Esto permite una revisión a fondo del sistema, identificando no
10
sólo las vulnerabilidades inmediatas, sino también secciones de código y
configuraciones potencialmente peligrosas, puertas traseras, y defectos de
construcción. El test de caja blanca puede requerir más recursos, tanto del
auditor como del cliente, para proporcionar la información pertinente. Este tipo
de test es más adecuado para entornos muy sensibles.
Pros:
1. Extremadamente minucioso.
2. Las recomendaciones para reparar fallos son muy precisas.
3. Detecta las amenazas inmediatas, así como los defectos de configuración
y construcción.
Contras:
1. Requiere muchos recursos tanto del auditor como del cliente.
2. No simula un verdadero ataque.
10
Vulnerabilidades en la gestión de contraseñas.
El test de caja gris combina los tests de caja negra y caja blanca. Este
test hace pruebas con métodos similares a los de la caja negra, simulando
ataques reales. Sin embargo, a diferencia del test de caja negra, el atacante
dispone de la información técnica pertinente del sistema, y además se le permite
pedir información adicional señalada con comentarios como con los del test de
caja blanca.
Pros:
1. Más rentable.
2. Proporciona una estimación realista de las amenazas.
Contras:
10
CAPITULO III
10
Otro aspecto importante para la correcta aplicación de esta metodología,
es el uso de herramientas o técnicas que ayuden a tener una mejor comprensión
y análisis de los elementos en una aplicación web. El uso de Diagramas de Flujo
para describir detalles algorıtmicos de un proceso, realizar Diagramas UML
(Lenguaje Unificado de Modelado) a conveniencia que ayuden a visualizar,
especificar y documentar partes del sistema de software (por ejemplo diagramas
de clases, diagramas de casos de uso, diagramas de secuencia), modelos de
entidad relación (ER) para describir tablas y objetos en una base de datos, entre
otros.
10
Análisis Técnico: Se realiza un análisis de la aplicación de manera que
se pueda decidir a qué tipos de ataques es sensible.
Diseño de las pruebas: En esta fase se diseñan las pruebas a realizar
para explotar aquellas deficiencias de seguridad que puedan aparecer en la
aplicación auditada.
Desarrollo de las pruebas: Se programarán las pruebas a ejecutar, y se
determinará el orden en el que se llevarán a cabo.
Realización de las pruebas: Durante esta fase se llevan a cabo todas
las pruebas sobre la aplicación auditada, se analizan los resultados obtenidos y
en el caso de detectar nuevas vulnerabilidades a explotar se vuelve a la fase
de diseño para intentar explotarlas.
1. Recopilación de información
Descubrimiento de aplicaciones.
Identificación de puntos de entrada a la aplicación.
Análisis de códigos de error.
Identificación de plataformas.
10
pueden no implementarse controles de seguridad lo suficientemente
robustos, y otras veces, implementar librerías propietarias de protocolos
estándar de forma incorrecta que implican también vulnerabilidades de
seguridad en el sistema.
10
Pruebas de finalización de sesión.
Pruebas sobre implementaciones de CAPTCHA.
Pruebas de autenticación basadas en múltiples factores.
Pruebas de condiciones de carrera.
10
Las reglas de negocio pueden incluir reglas que expresen políticas de
negocio (como productos, precios o ubicaciones) o workflows basados en
tareas ordenadas de transmisión de datos de un participante (una
persona o un componente software) a otro.
10
La negación de servicio (DoS) tiene como objetivo impedir que un sistema
proporcione la actividad habitual a los usuarios. Estos ataques maliciosos
pueden producirse privando a un sistema de recursos críticos, explotando
vulnerabilidades o mediante un abuso de funcionalidad.
RESULTADOS
Informe
Se elabora un informe detallado donde se incluye:
10
Resumen ejecutivo de alto nivel.
Detalle de todas las pruebas realizadas especificando su objetivo.
Resultados obtenidos en los diferentes tests que se han realizado.
Recomendaciones que permitan solucionar de la forma más acertada los
problemas de seguridad encontrados.
Clasificación de los problemas de seguridad según su nivel de peligro.
Esto permitirá a la empresa poder elaborar un plan de actuación eficiente
para resolver estos problemas de seguridad.
10
seguridad de aplicaciones Web, usada como referente en auditorías de
seguridad para analizar y evaluar los riesgos.
10
informáticos. Sin duda garantiza una revisión superior respaldada por los
mejores estándares, procedimientos y controles de trabajo.
Grupos de controles:
Recopilación de información
Configuración y administración
Gestión de identidades
Autenticación de usuarios
Autorización de accesos
Gestión de sesiones de usuario
Validación de parámetros de entrada
Manejo de excepciones
Debilidades de criptografía
Lógica de Negocio
Vulnerabilidades de cliente
RESULTADOS
Informe
Se elabora un informe detallado donde se incluye:
Informe de negocio
Informe técnico
10
una propuesta de solución para cada problema con la finalidad de que el cliente
pueda solucionarlos todos.
CONCLUSIÓN
Asimismo asumimos que debemos controlar de una manera efectiva estos planes para que
se adecuen y estén actualizados a nuestras necesidades funcionales en todo momento. Por
ello aparte de los propios planes, necesitamos el desarrollo de su evaluación fase por fase
de la mano de la auditoría de estos planes. Estas auditorías nos darán la base para su
evaluación, y corrección en su caso, lo que nos proveerá de planes adecuados
funcionalmente hablando a nuestras organizaciones.
10
APÉNDICE A
REFERENCIAS BIBLIOGRÁFICAS
Otros Enlances
peslam.com/auditoria-pagina-web.html
webmastercreativo.com/como-realizar-una-auditoria-web-completa/
bialita.com/blog/analytics/61-que-es-una-auditoria-de-paginas-web
juancoccaro.com/2012/09/las-5-mejores-herramientas-para-realizar-una-auditoria-
seo/
es.scribd.com/doc/55676195/Perfil-de-Auditor-de-Sistemas#scribd
colombiadigital.net/actualidad/articulos-informativos/item/4801-tipos-de-ataque-
y-como-prevenirlos.html
a2secure.com/auditorias/auditoria-web
10
APÉNDICE B
GLOSARIO DE TÉRMINOS Y DEFINICIONES
10
Sistema: Es un conjunto de partes o elementos organizadas y relacionadas que
interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada)
datos, energía o materia del ambiente y proveen (salida) información, energía o
materia.
Metodología
Parte de la lógica que estudia los métodos. Conjunto de métodos que se siguen
en una investigación científica, un estudio o una exposición doctrinal.
APÉNDICE C
DIAGRAMAS, ESQUEMAS, GRÁFICOS O DIBUJOS
10
Figura 1. Tipos de auditorias
10
Figura 2. Áreas de la auditoria de sistemas
10
Figura 3. Herramientas Seo
10
Figura 4. Metodología Auditoria Seo
10
Figura 5. Metodología Auditoria de aplicaciones web
10
Figura 6. Otras Metodología Auditoria de aplicaciones web (OWASP)
10