Febrero, 2019 Versión 1 INFORME ANÁLISIS DE VULNERABILIDADES APLICACIÓN WEB _ empresa.????????.cl INFORME PRESENTADO A: NOTA DE CONFIDENCIALIDAD NOTA DE CONFIDENCIALIDAD Este documento contiene propiedad e información confidencial. Grep TI garantiza la confidencialidad de la información y cualquier otro material que haya o deba ser divulgado en el curso de la materialización del presente servicio. Se asume un mutuo acuerdo de no-divulgación de información confidencial entre Grep y ????????, limitando el uso de información confidencial exclusivamente para propósitos que se encuentran asociados a la correcta entrega de este servicio. Este documento contiene propiedad e información confidencial. Grep TI garantiza la confidencialidad de 2 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl TABLA DE CONTENIDOS 1. RESUMEN EJECUTIVO. 1.1. 1.2. 1.3. 1.3.1. 1.3.2. 1.4. 1.4.1. 1.4.2. 1.5. 1.6. 2. Introducción. Antecedentes Generales. Proceso de evaluación desarrollado. Resumen de pruebas realizadas. Condiciones especiales de evaluación Resultados. Resultados proceso de evaluación. Mapa de revisión. Conclusiones. Recomendaciones. RESULTADOS TÉCNICOS. 2.1. 2.2. 2.3. 2.4. 2.4.1. 2.4.2. 2.4.2.1. Ámbito del trabajo realizado. Detalle de pruebas técnicas realizadas. Alineamiento metodológico. Resultados evaluación técnica. Evaluación técnica en portal https://empresa.????????.cl/ Proceso de validación manual. Hallazgos Verificados y Contramedidas ANEXO A. DESCRIPCIÓN TOP 10 CATEGORÍAS OWASP. 4 4 4 4 5 6 6 6 7 9 9 10 10 10 11 12 12 12 12 16 3 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl LISTA DE FIGURA, GRÁFICOS Y TABLAS FIGURA Figura 1: Etapas proceso de evaluación. 5 GRÁFICOS Gráfico 1: Detalle de pruebas realizadas y no realizadas Gráfico 2: Detalle de pruebas no realizadas con y sin justificación. Gráfico 3: Vulnerabilidades por severidad validadas en proceso manual Gráfico 2: Distribución de alertas por categoría OWASP 5 6 7 12 TABLAS Tabla 1: Listado de vulnerabilidades validadas en ciclos de evaluación Tabla 2: Listado de url validadas en ciclos de evaluación Tabla 3: Listado parámetros validados en ciclos de evaluación Tabla 4: Listado de pruebas realizadas 7 8 9 11 4 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl 1. RESUMEN EJECUTIVO. 1.1. Introducción. Grep TI ha realizado una evaluación de seguridad sobre la Aplicación Web correspondiente a la URL https://empresa.????????.cl/, perteneciente al ????????, evaluación enmarcada dentro del Servicio de Pruebas de Seguridad de Aplicaciones contratado. El análisis de seguridad realizado establece el estado del arte actual que registra la Aplicación Web objetivo de este proceso de evaluación, objetivo que ha sido definido por ????????. La Aplicación Web fue analizada desde una perspectiva de Seguridad de la Información, específicamente en el ámbito de las amenazas y vulnerabilidades electrónicas que se encuentran presentes y que podrían dar paso a actividades maliciosas sobre la Aplicación Web, pudiendo comprometer la información, sistemas informáticos, imagen y/o reputación de ????????. Utilizando una combinación de herramientas, scripts y validaciones manuales, Grep TI provee tanto la interpretación como el ajuste de los resultados a la realidad propia que vive la organización; lo anterior se transforma en una necesidad vital para asegurar planes de acción y recomendaciones asertivas. La metodología utilizada por Grep TI para la ejecución del presente análisis se encuentra basada en la metodología OWASP, la cual agrupa y describe las mejores prácticas para el desarrollo y mantenimiento de aplicativos basados en tecnología Web. El análisis desarrollado se encuentra enfocado a nivel de aplicación (capa 7 del modelo de referencia OSI), bajo el concepto de Greybox Test (análisis de caja gris), donde a partir de la URL objetivo y otros datos de prueba entregados, se realizan diversas actividades de descubrimiento que permiten identificar los distintos componentes que posee el objetivo analizado y las vulnerabilidades a las cuales se encuentra expuesto. El presente proceso de evaluación de vulnerabilidades y la confección del informe técnico asociado fue realizado enmarcado en las actividades asociadas al requerimiento solicitado por el cliente y fue realizado durante el mes de Febrero de 2019. 1.2. Antecedentes Generales. Las actividades de evaluación y análisis se focalizaron https://empresa.????????.cl/ bajo el concepto de GreyBox Test. sobre la URL 1.3. Proceso de evaluación desarrollado. El proceso de evaluación desarrollado sobre la URL https://empresa.????????.cl/, incluyo las siguientes etapas: 5 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Figura 1: Etapas proceso de evaluación. 1.3.1. Resumen de pruebas realizadas. A continuación se presenta, de forma ejecutiva, las estadísticas y el detalle de las pruebas y validaciones específicas realizadas como parte del presente proceso de evaluación. Gráfico 1: Detalle de pruebas realizadas y no realizadas También se presentan las estadísticas y detalle de aquellas pruebas y validaciones específicas no realizadas que cuentan con una justificación técnica para esta condición. 6 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Gráfico 2: Detalle de pruebas no realizadas con y sin justificación. 1.3.2. Condiciones especiales de evaluación El análisis de seguridad realizado a la aplicación comprende solamente la url https://empresa.????????.cl dejando fuera de contexto cualquier subdominio comprendido dentro del dominio principal ????????.cl, por ejemplo https://www.????????.cl 1.4. Resultados. 1.4.1. Resultados proceso de evaluación. Para las actividades de validación, se tomó como base los hallazgos (vulnerabilidades) identificadas durante el proceso de evaluación automatizado y además se aplicaron técnicas 1 manuales de pentesting para descubrir nuevas vulnerabilidades, lo que arrojó como resultado la presencia de las vulnerabilidades validadas a continuación, las cuales se encuentran organizados en base a las siguientes categorías: 1 Pen Test se denomina a los "Test de penetración" o en inglés "PenetrationTests", y son en conjunto la forma de denominar a una serie de técnicas utilizadas para evaluar la seguridad de redes, sistemas de computación y aplicaciones involucradas en los mismos. 7 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Gráfico 3: Vulnerabilidades por severidad validadas en proceso manual # Vulnerabilidad Criticidad Estado Revelación y exposición de información sensible ALTA Nueva Campo password con autocompletado habilitado BAJA Nueva Tabla 1: Listado de vulnerabilidades validadas en ciclos de evaluación 1.4.2. Mapa de revisión. El siguiente listado corresponde a las url revisadas durante el proceso de análisis. https://empresa.????????.cl/ https://empresa.????????.cl/logout https://empresa.????????.cl/apis/get_items_for_contributions/ https://empresa.????????.cl/manifest.json https://empresa.????????.cl/assets/ https://empresa.????????.cl/property_policy/1 https://empresa.????????.cl/property_policy/current?from=i deas https://empresa.????????.cl/assets/OwlCarousel2/ https://empresa.????????.cl/cdn-cgi/l/email-protection https://empresa.????????.cl/cdn-cgi/scripts/5c5dd728/cloudflare-st atic/ https://empresa.????????.cl/resetpassword https://empresa.????????.cl/comments https://empresa.????????.cl/resource_comments https://empresa.????????.cl/resources/company_innovation s https://empresa.????????.cl/derivated_ideas/index https://empresa.????????.cl/resources/posts https://empresa.????????.cl/dismiss https://empresa.????????.cl/resources/success_stories https://empresa.????????.cl/expert_areas https://empresa.????????.cl/resources/tools https://empresa.????????.cl/favicon/ https://empresa.????????.cl/resources/tools?page=1 https://empresa.????????.cl/funding_lines https://empresa.????????.cl/resources/tools?page=2 8 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl https://empresa.????????.cl/home/goals https://empresa.????????.cl/robots.txt https://empresa.????????.cl/home/ideas https://empresa.????????.cl/upload/ https://empresa.????????.cl/home/news https://empresa.????????.cl/users/ https://empresa.????????.cl/idea_field_answers https://empresa.????????.cl/users/7281/update_password https://empresa.????????.cl/idea_quick_implementations https://empresa.????????.cl/www.????????.uai.cl https://empresa.????????.cl/ideas https://empresa.????????.cl/www.????????.uchile.cl https://empresa.????????.cl/ideas/my_ideas https://empresa.????????.cl/www.????????.cl https://empresa.????????.cl/ideas/new https://empresa.????????.cl/www.????????.cl https://empresa.????????.cl/ideas https://empresa.????????.cl/www.????????.com https://empresa.????????.cl/login https://empresa.????????.cl/www.????????.cl https://empresa.????????.cl/login?from_path=%2F Tabla 2: Listado de url validadas en ciclos de evaluación Las siguientes url corresponde a un análisis más profundo por contener parámetros susceptibles a inyecciones referenciados a cada menú del portal. Login Page https://empresa.????????.cl/login authenticitc%2B1%2B9qRLfQ%3D%3D&from_path=%2F&email=usuariogrep%40ethicalhacking.cl&passw ord=grep2019 https://empresa.????????.cl/users/7281 utf8=%E2%9C%93&_method=patch&authenticity_token=0UChyC1t9i5DoJjZlj0oRkPbaqoigDkJrt%2BA4Op X6ZgwUC56phone%5D=%281__%29+_+___+____&user%5Barea_id%5D=131&user%5Bposition%5D=1& user%5Bcareer%5D=1&user%5Bknowledge%5D=1&commit=Actualizar+perfil Mi Perfil https://empresa.????????.cl/users/7281/update_password utf8=%E2%9C%9word_confirmation%5D=1&commit=Actualizar+contrase%C3%B1a https://empresa.????????.cl/property_policy/current utf8=%E2%9CNV74FXfhfxMDKupv1%2FpFg%3D%3D&current_property_policy%5Baccept%5D=0&commi t=Enviar https://empresa.????????.cl/ideas? utf8=%E2%9C%93&=86&q%5Bstage_in%5D%5B%5D=&q%5Bstage_in%5D%5B%5D=2 https://empresa.????????.cl/comments utf8=%E2%9C%93&authenticAymnVaALg%3D%3D&comment_type=public&object_context=5691&body =1 https://empresa.????????.cl/idea_field_answers Ideas company_form_3&i=5691&answer=MSG_Propuestaa&option_field_id= https://empresa.????????.cl/ideas/5829/ _method=put&goalselect=318 https://empresa.????????.cl/apis/get_items_for_contributions/5829? term=1&_typequery&q=1 https://empresa.????????.cl/ideas/5829/submit? has_blank_arelect_tag=false 9 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl https://empresa.????????.cl/resources/tools? page=2 https://empresa.????????.cl/funding_lines? utf8=%E2%9C%93&q%5Btitle_or_desc_cont%5D=1&q%5Bfunding_lines_institutions_institution_id_in%5 Centro D%5B%5D=&q%5Beq_any%5D%5B%5D=1&q%5Bstage_early_eq_any%5D%5B%5D=1&q%5Bstage_advan de ced_eq_any%500000&q%5Bamount_lteq_any%5D%5B%5D=80000000&q%5Bamount_lteq_any%5D%5B Recursos %5D=100000000&q%5Bamount_gteq_any%5D%5B%5D=100000000&q%5Bvigenc_y_eq_any%5D%5B%5 D=1&button= https://empresa.innk.cl/expert_areas? utf8=%E2%9C%93&q%5Bname_cont%5D=1&q%5Bexpert_areas_items_item_id_in%5D%5B%5D=&q%5B expert_areas_itemsitem_id_in%5D%5B%5D=2&q%5Binstitution_id_in%5D%5B%5D=&q%5Binstitution_i d_in%5D%5B%5D=2hnology_id_in%5D%5B%5D=1&q%5Bexpert_areas_regions_region_id_in%5D%5B%5 D=&q%5Bexpert_areas_regions_region_id_in%5D%5B%5D=2&button= Tabla 3: Listado parámetros validados en ciclos de evaluación 1.5. Conclusiones. De acuerdo a los resultados de la evaluación realizada sobre el portal Web en materia de análisis, este presenta una vulnerabilidad de Severidad Alta y una vulnerabilidad de Severidad Baja. A juicio del evaluador, las remediaciones de las vulnerabilidades encontradas y validadas tienen un proceso asociado más cercano a la revisión y ajuste de las configuraciones de seguridad del servidor y sitio, en lugar de un nuevo ciclo de desarrollo correctivo. Se incluye información técnica de detalle respecto de las vulnerabilidades descubiertas, evaluadas y validadas tanto en el punto 2.4.2.1 Hallazgos Verificados y Contramedidas. 1.6. Recomendaciones. Como medidas más urgentes de implementar, se recomienda lo siguiente: ● ● Para evitar que los navegadores almacenen las credenciales ingresadas en formularios HTML, incluya el atributo autocomplete=off dentro de la etiqueta FORM (para proteger todos los campos de formulario) o dentro de las etiquetas INPUT relevantes (para proteger campos individuales específicos). Cuando un usuario quiera cambiar su contraseña dentro del portal, es necesario que se le solicite la clave actual de dicho usuario, de manera que esta no esté incluida por defecto en el flujo de la aplicación sin ser requerida previamente. 2. RESULTADOS TÉCNICOS. 2.1. Ámbito del trabajo realizado. Para la materialización del proceso de evaluación, análisis y validación de vulnerabilidades, se ejecutaron un conjunto probado de acciones de detección de vulnerabilidades Web. Las acciones de detección de vulnerabilidades Web fueron realizadas sobre los siguientes objetivos: 10 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl ● URL https://empresa.????????.cl/. 2.2. Detalle de pruebas técnicas realizadas. A continuación se presenta el listado y detalle de las pruebas específicas realizadas como parte del presente proceso de evaluación. # 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Prueba solicitada Débil implementación de SSL. Debilidad en gestión de configuración de infraestructura. Debilidad en gestión de configuración de aplicación y exposición de información. Debilidad en gestión de configuración de extensión de ficheros. Antiguo backup y ficheros no referenciados. Acceso a interfaces de administración. Transporte de credenciales sobre canal cifrado (hombre del medio). Enumeración de usuarios. Cuentas de usuario adivinables. Credenciales débiles. Vulnerabilidad de recordatorio de contraseña y debilidad de restablecimiento de contraseña. Función de cierre de sesión no implementada correctamente, debilidad en la caché de navegación. Debilidad de cierre de sesión no implementada correctamente, debilidad en la caché de navegación. Evasión de esquema de autenticación, Testigo de sesión débil. Cookies no definidas como ‘HttpOnly’, ‘Secure’ y sin tiempo de expiración. Variables sensibles de Sesión expuestas. # Prueba solicitada 18 19 20 Ruta Transversal. Evasión de esquema de autorización. Escalado de privilegios. Estado de ejecución (Si / No) Observación Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Estado de ejecución (Si / No) Si Si Si Observación 11 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 Evasión de la lógica de negocio. Cross-Site Scripting. Inyección SQL. Inyección LDAP. Inyección XML. Inyección de Código. Desbordamiento de buffer. Vulnerabilidad incubada. Debilidad en la estructura del XML. XML a nivel de contenido. Debilidad Ajax. Codificación (UFT8, ASCII, otro). Mail bombing en formularios. Inspección de código javascript y comentarios en el código fuente desde el lado del cliente. Descubrimiento y Reconocimiento (Metadatos). Identificación y estado de Puertos/Servicios. Búsqueda de vulnerabilidades en el sistema operativo y en los servicios listados. Verificar vulnerabilidades encontradas comparando en base de datos de vulnerabilidades conocidas (ej. CVE). Descubrimiento de agujeros de seguridad en los cambios de configuración e identificación de configuraciones erróneas. Validación de los exploit encontrados de forma no invasiva y controlada. Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Si Tabla 4: Listado de pruebas realizadas 2.3. Alineamiento metodológico. Para el proceso de evaluación de vulnerabilidades Web, la metodología de trabajo definida toma como base referencial el estándar OWASP, motivo por el cual los resultados detallados fueron organizados en las categorías definidas por esta metodología, correspondiendo a: ● ● ● ● ● ● ● ● ● ● A1 - Inyección. A2 - Pérdida de Autenticación y Gestión de Sesiones. A3 - Exposición de Datos Sensibles. A4 – Entidades Externas XML (XXE) A5 – Pérdida de Control de Acceso A6 - Configuración de Seguridad Incorrecta. A7 – Secuencia de Comandos en Sitios Cruzados (XSS). A8 – Deserialización Insegura A9 - Componentes con Vulnerabilidades Conocidas. A10 – Registro y Monitoreo Insuficientes. Se incluye en el Anexo A del presente informe una descripción de cada una de las categorías definidas por la metodología OWASP. 12 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl 2.4. Resultados evaluación técnica. 2.4.1. Evaluación técnica en portal https://empresa.????????.cl/ Los resultados obtenidos durante el proceso de levantamiento y evaluación técnica automatizada desarrollado sobre la Aplicación Web https://empresa.????????.cl/, organizados desde la perspectiva y categorías OWASP corresponden a: 2 alertas distribuidas en categorías definidas por la metodología señalada. A continuación se presentan estos resultados de manera gráfica: Gráfico 4: Distribución de alertas por categoría OWASP 2.4.2. Proceso de validación manual. 1.1.1.1. Hallazgos Verificados y Contramedidas Como parte determinante del presente análisis, se realizaron un conjunto de validaciones realizados sobre las vulnerabilidades descubiertas, con el propósito de establecer la veracidad de las posibles vulnerabilidades encontradas y descartar falsos positivos. También se aplicaron técnicas manuales de pentesting para una revisión más granular del sitio permitiendo así descubrir y validar nuevas vulnerabilidades. A continuación se presentan los resultados de estas actividades. 13 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Tipo Elementos Afectados 1. Revelación y exposición de información sensible URL: https://empresa.????????.cl/users/7281/edit Abstracto: Dentro del menú "Mi Perfil - Editar Perfil - CAMBIAR CONTRASEÑA" la opción de cambiar la contraseña debería solicitar la clave antigua y no como está configurada actualmente en la cual la aplicación almacena la contraseña y la muestra dentro del formulario del portal Descripción Las URLs revelan información de carácter sensible de la aplicación como rutas internas o credenciales dentro del código como es en este caso en particular. Esto puede ayudar a un usuario malicioso para preparar ataques más avanzados en contra del sitio web. Impacto En este caso es posible acceder a credenciales descritas dentro del código de la aplicación. Contramedida 14 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Es necesario que se le solicite la clave actual de dicho usuario al momento de ofrecer el cambio de la contraseña. Nivel Criticidad Tipo Elementos Afectados Descripción Alta 2. Campo password con auto-completado habilitado URL: https://empresa.????????.cl/login Cuando se ingresa un nuevo usuario y contraseña en un formulario y se envía el formulario, el navegador le preguntará al usuario si desea recordar estas credenciales. A partir de entonces cuando se muestra el formulario, el nombre y la contraseña se rellenarán automáticamente o son completados una vez es ingresado el nombre. La habilitación de esta configuración permite obtener el listado de usuarios que iniciaron sesión en la aplicación debido a que este parámetro queda almacenado en el browser del cliente. 15 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Impacto Contramedida Un usuario malicioso o atacante, con acceso local, podría obtener el listado de usuarios y las contraseñas asociadas desde los archivos del cache del navegador, logrando un posible acceso a información sensible. Se debe deshabilitar el autocompletado de contraseñas en las aplicaciones sensibles. El autocompletado podría ser deshabilitado mediante el siguiente código: <INPUT TYPE="password" AUTOCOMPLETE="off">. En ASP se debe utilizar el siguiente código: public abstract class BasePage : Page { protected override void OnLoad(EventArgs e) { //Handling autocomplete issue generically if (this.Form != null) { this.Form.Attributes.Add("autocomplete", "off"); } base.OnLoad(e); } } En Java se debe utilizar el siguiente código: inpElements.setAttribute('autocomplete','off'); Más información: ● https://www.owasp.org/index.php/Testing_for_Vulnerable_Remember_Passw ord_(OWASP-AT-006) Nivel Criticidad Baja ANEXO A. DESCRIPCIÓN TOP 10 CATEGORÍAS OWASP. A1:2017 Inyección 16 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Las fallas de inyección, como SQL, NoSQL, OS o LDAP ocurren cuando se envían datos no confiables a un intérprete, como parte de un comando o consulta. Los datos dañinos del atacante pueden engañar al intérprete para que ejecute comandos involuntarios o acceda a los datos sin la debida autorización. A2:2017 Pérdida de Autenticación Las funciones de la aplicación relacionadas a autenticación y gestión de sesiones son implementadas incorrectamente, permitiendo a los atacantes comprometer usuarios y contraseñas, token de sesiones, o explotar otras fallas de implementación para asumir la identidad de otros usuarios (temporal o permanentemente). A3:2017 Exposición de datos sensibles Muchas aplicaciones web y APIs no protegen adecuadamente datos sensibles, tales como información financiera, de salud o Información Personalmente Identificable (PII). Los atacantes pueden robar o modificar estos datos protegidos inadecuadamente para llevar a cabo fraudes con tarjetas de crédito, robos de identidad u otros delitos. Los datos sensibles requieren métodos de protección adicionales, como el cifrado en almacenamiento y tránsito. A4:2017 Entidades Externas XML (XXE) Muchos procesadores XML antiguos o mal configurados evalúan referencias a entidades externas en documentos XML. Las entidades externas pueden utilizarse para revelar archivos internos mediante la URI o archivos internos en servidores no actualizados, escanear puertos de la LAN, ejecutar código de forma remota y realizar ataques de denegación de servicio (DoS). A5:2017 Pérdida de Control de Acceso Las restricciones sobre lo que los usuarios autenticados pueden hacer no se aplican correctamente. Los atacantes pueden explotar estos defectos para acceder, de forma no autorizada, a funcionalidades y/o datos, cuentas de otros usuarios, ver archivos sensibles, modificar datos, cambiar derechos de acceso y permisos, etc. A6:2017 Configuración de Seguridad Incorrecta La configuración de seguridad incorrecta es un problema muy común y se debe en parte a establecer la configuración de forma manual, ad hoc o por omisión (o directamente por la falta de configuración). Son ejemplos: S3 buckets abiertos, cabeceras HTTP mal configuradas, mensajes de error con contenido sensible, falta de parches y actualizaciones, frameworks, dependencias y componentes desactualizados, etc. A7:2017 Secuencia de Comandos en Sitios Cruzados (XSS) Los XSS ocurren cuando una aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada; o actualiza una página web existente con datos suministrados por el usuario utilizando una API que ejecuta JavaScript en el navegador. Permiten ejecutar comandos en el navegador de la víctima y el atacante puede secuestrar una sesión, modificar (defacement) los sitios web, o redireccionar al usuario hacia un sitio malicioso. A8:2017 Deserialización Insegura 17 | INFORME: Análisis de vulnerabilidades aplicación web / empresa.????????.cl Estos defectos ocurren cuando una aplicación recibe objetos serializados dañinos y estos objetos pueden ser manipulados o borrados por el atacante para realizar ataques de repetición, inyecciones o elevar sus privilegios de ejecución. En el peor de los casos, la deserialización insegura puede conducir a la ejecución remota de código en el servidor. A9:2017 Componentes con vulnerabilidades conocidas Los componentes como bibliotecas, frameworks y otros módulos se ejecutan con los mismos privilegios que la aplicación. Si se explota un componente vulnerable, el ataque puede provocar una pérdida de datos o tomar el control del servidor. Las aplicaciones y API que utilizan componentes con vulnerabilidades conocidas pueden debilitar las defensas de las aplicaciones y permitir diversos ataques e impactos. A10:2017 Registro y Monitoreo Insuficientes El registro y monitoreo insuficiente, junto a la falta de respuesta ante incidentes permiten a los atacantes mantener el ataque en el tiempo, pivotear a otros sistemas y manipular, extraer o destruir datos. Los estudios muestran que el tiempo de detección de una brecha de seguridad es mayor a 200 días, siendo típicamente detectado por terceros en lugar de por procesos internos.