Guia de Seguridad Owasp Delito Bucaramanga -Definitivo

8/15/2019 Guia de Seguridad Owasp Delito Bucaramanga -Definitivo

http://slidepdf.com/reader/full/guia-de-seguridad-owasp-delito-bucaramanga-definitivo 1/32





OB/E0I1O 2ENERAL Anali"ar ! $e*orar la se'uridad %eb en el

portal del Observatorio Municipal del delito, elconicto ! la pobre"a de Bucara$an'a)

Aplicando el pro!ecto de se'uridad deO3ASP)



OB/E0I1OS ESPECI4ICOS• Aplicar el an5lisis de vulnerabilidades del 0op 67

O3ASP al portal del observatorio Municipal del delito,el conicto ! la pobre"a de Bucara$an'a, $ostrandoprocesos de identi.caci-n, rastreo ! dia'n-stico de

los proble$as de se'uridad del portal)• De$ostrar el uso de +erra$ientas de so#t%are libre

para la i$plantaci-n del pro!ecto O3ASP !reali"aci-n de labores de auditor&a %eb)

•

Establecer un plan de traba*o basado en loencontrado con $iras a proponer estrate'iascorrectivas para $iti'ar los ries'os detectados)



O3ASP• El pro!ecto $)AS" 8$-en )eb A--lication

Secrity "ro/ect9 est5 dise:ado co$o un $arcode traba*o (ue a!ude en el proceso del ciclo de

desarrollo del so#t%are 8SDLC9, ;sta provee unasoluci-n e<ible (ue $e*ora el proceso dedesarrollo, teniendo en cuenta desde el inicio elte$a de la se'uridad en la in'enier&a del so#t%are)

DESARROLLO DEL PRO=EC0O



0OP 67 O3ASP

l to- 01 de $)AS" in#or$a sobrevulnerabilidades en aplicaciones %eb se basa enin#or$aci-n sobre rie'os provenientes de 2 3r4ases-ecializadas en segridad de aplicaciones)

Asi$is$o, estas vulnerabilidades son priori"adasde acuerdo al nivel de e5-lotaci6n* detecci6n ei4-acto esti4ado)







"!U%A I('!USI$( A"#ICACI$(S

)%Es un $;todo de evaluar la se'uridad de un

siste$a de co$putadores o una red $ediante la

si$ulaci-n de un ata(ue) ?na prueba de intrusi-n a una %eb co$o la delObservatorio Metropolitano de Bucara$an'aest5 en#ocada sola$ente a evaluar la se'uridad

de dic+a aplicaci-n %eb



7'$D$#$GIA D "!U%A $)AS"• Las pruebas de intrusi-n nunca ser5n una ciencia e<acta

$ediante la cual se pueda de.nir una lista co$pleta detodas las incidencias posibles (ue deber&an serco$probadas) De +ec+o, las pruebas de intrusi-n sonsolo una t;cnica apropiada para co$probar la se'uridadde aplicaciones %eb ba*o ciertas circunstancias)

• Basado en la 'u&a de pruebas O3ASP estas son al'unas

pruebas (ue +ici$os en nuestra pa'ina %eb DelitoBucara$an'a@



REOCOPILACION IN4ORMACION

P?ER0OS ABIER0OS



0ECNOLO2IAS 3EB ?SADAS EN LA PA2INA?SO 3A03EB

+ttps@drive)'oo'le)co$.led7B6=<tPL+

aRFlGR?G0?t(S2Mvie%Husps+arin'

https://drive.google.com/file/d/0B1YQxtK5PLhaRklZRUZ5TUtqSGM/view?usp=sharing






SIS0EMA OPERA0I1O ?SADO

OS0Dentro del ter$inal de ali Linu< teclea$os la si'uiente orden@<probeJ Kv %%%)delitobucara$an'a)co$

http://www.delitobucaramanga.com/

http://www.delitobucaramanga.com/



IN4ORMACION PA2INA 3EB EN LINEA

• Se puede saber usando la p5'ina %eb de

netcra#t $5s datos t;cnicos d5ndole clic alsi'uiente linF@

• +ttp@toolbar)netcra#t)co$sitereportHur

lunde.nedlastreboot

http://toolbar.netcraft.com/site_report?url=undefined#last_reboot






DESC?BRIMIEN0O APLICACIONES

• E<istencia aplicaciones en los puertos@



SPIDERS , ROBO0 = CRA3LERS ?SO 3EBSA2



IDEN0I4ICACION P?N0O EN0RADA APLICACIÓN•

Inspecci-n de c-di'o delito Bucara$an'a)



PR?EBA DE 4?ERGA BR?0A ?SO=DRA



PR?EBA 1ALIDACION DE DA0OS?SO SSER



?SO SLMAP DELI0O B?CARAMAN2A



PR?EBAS SER1ICIOS 3EB?SO LI1E 00PEADERS



?SO DE 4IRE4O 0AMPERDA0A



J7"#$ D "!U%A J$$7SCA(

J$$7SCA7 en e/ecci6n8

Para ver la lista de vulnerabilidades (ue detecta$os en esta+erra$ienta dar clic al si'uiente linF@+ttps@drive)'oo'le)co$.led7B6=<tPL+a?J%c31!Np4?l?vie%Husps+arin'

https://drive.google.com/file/d/0B1YQxtK5PLhaU24wcWVyNXpFUlU/view?usp=sharing






J7"#$ D "!U%A)9AF



• Detecci-n 1ulnerabilidad 3A4@



• Secci-n E<ploit 3A4



J7"#$ D "!U%A

$)AS":;A")Descubriendo 1ulnerabilidades@



Resultados del In#or$e O3ASPGAP@

• ver todas las vulnerabilidades encontradas en el anterior escaneo ver el si'uientelinF@+ttps@drive)'oo'le)co$.led7B6=<tPL+aSFp$d$o60$pi=F+Ebd!=*lIRB6S7+%0J1vvie%Husps+arin'

https://drive.google.com/file/d/0B1YQxtK5PLhaSkpmdmo1TmpiYkhEb3dyYjlIRXB1S0hwT2Vv/view?usp=sharing






CONCL?SIONES• Al +acer pruebas con diversas +erra$ientas so#t%are incluidas en la suite de ali

Linu< encontra$os in#or$aci-n relevante en nuestra p5'ina %eb co$o sudirecci-n IP , 'estor de contenido usado, cone<iones abiertas, siste$a operativousado en el Servidor, servicios de so#t%are usados por al'unos puertos entre otras,esta in#or$aci-n es relevante !a (ue al'Qn potencial atacante la puede usar para+acer un ata(ue $5s e#ectivo a esta p5'ina, recorde$os (ue una de las #ases deata(ue in#or$5tico es la recolecci-n de la in#or$aci-n sea por $edio de 'oo'le ode uso de +erra$ientas auto$ati"adas co$o las (ue est5n en la suite de ali Linu<

• Pode$os ver (ue en la #ase de pruebas para tener ;<ito en el descubri$iento devulnerabilidades de una aplicaci-n %eb tene$os (ue usar +erra$ientasauto$ati"adas de la suite ali Linu< ! coloca$os al'unas de ellas co$o e*e$plo,encontr5ndose vulnerabilidades ! las coloca$os por $edio de un linF para (ue en

un #uturo $ediano se ten'a en para #uturas $e*oras de se'uridad de la p5'ina %ebdelito Bucara$an'a en su versi-n NJ)



RECOMENDACIONES• "ara las vlnerabilidades ti-o <SS8• codi.car los datos no con.ables basados en el conte<to

0ML• validar ele$entos de los datos co$o sus caracteres ! el

#or$ato de estos antes de aceptarlos co$o entrada enuna aplicaci-n %eb)

• Contar con soluciones de se'uridad instaladas !actuali"adas co$o los antivirus o .re%all

• revisar los linFs en la barra de nave'aci-n, (ue cuando lap5'ina car'ue este al principio asi +ttps@

•

Se su'iere el uso de nave'adores alternativos a losconocidos, incluso el nave'ador 4ire#o< per$iteco$ple$ento co$o NoScript





G!ACIAS "$!SU A'(CI>(

Documents

Guia de Seguridad Owasp Delito Bucaramanga -Definitivo